Cómo realizar una adquisición física en Android con “dd”, incluso cuando no tienes tarjeta SD - Parte 2 - Perito Informático
Cómo realizar una adquisición física en Android con “dd”, incluso cuando no tienes tarjeta SD – Parte 2

Cómo realizar una adquisición física en Android con “dd”, incluso cuando no tienes tarjeta SD – Parte 2

Segunda parte del artículo publicado en este blog (ver Parte 1), en la que amplio algunos de los conceptos gracias a las recomendaciones de Buenaventura Salcedo Santos-Olmo (@nomed__1)

Hola de nuevo!

Tenía este post en el tintero desde hace bastante tiempo, a raíz de una conversación que tuve a través de Telegram con Buenaventura Salcedo Santos-Olmo, que para los que no le conozcais todavía, es una de las personas que más sabe sobre adquisición a bajo nivel de dispositivos móviles.

En esta conversación me hizo algunas sugerencias para ampliar mi primer artículo sobre la adquisición de una imágen forense en Android (con la pega de no tener una tarjeta SD), y este es el resultado de estas sugerencias.

¿Que implica “rootear” un teléfono móvil?

En la primera parte de este artículo os hablaba de que en algunos casos utilizo “KingRoot” como herramienta para conseguir un acceso “root” al dispositivo.

Para los que no estéis familiarizados con los sistemas operativos basados en Unix (como es Android), el “root” es el superadministrador del sistema, que tiene un acceso total al mismo (a sus ficheros, a sus procesos, etc…).

Como diría Spiderman, “un gran poder implica una gran responsabilidad”. Por eso, el 99% de los teléfonos móviles basados en Android que se venden no permiten el acceso “root” a los mismos. La explicación de cómo Android gestiona los usuarios y los permisos daría para una serie de artículos, por lo que no voy ahora a profundizar en esto.

Además, cada fabricante puede añadir una capa de seguridad adicional sobre el sistema operativo (como hace Samsung con su Knox), y en la mayoría de los casos, si “rooteamos” el teléfono el fabricante se desentenderá de su garantía, dado que en los términos y condiciones de uso harán constar que se trata de un uso “no autorizado” del terminal.

Lo que ocurre con “KingRoot” (al igual que con otras aplicaciones que sirven para conseguir un acceso de superusuario a nuestro dispositivo) es que son aplicaciones que no son distribuidas por canales oficiales, y que en un gran porcentaje de los casos incluyen “bloatware” que se instala de forma silenciosa en el dispositivo.

Además, una de las máximas del analista forense informático es garantizar siempre la no alteración de las evidencias con las que trabaja. Y la instalación de este tipo de aplicaciones resulta muy “intrusiva”, generando una alteración del contenido del dispositivo móvil que debemos justificar muy bien si estamos ante una prueba judicial.

Por tanto, antes de “rootear” un dispositivo debéis tener en cuenta las consecuencias que puede tener, y pensar muy bien para qué necesitáis este “rooteo”. Para realizar una imágen forense, a veces hay otras opciones, como las que Buenaventura comenta en este artículo, en el que explica cómo podemos adquirir la memoria en dispositivos basados en el procesador MTK de Mediatek.

Adquisición física mediante “dd” CON tarjeta SD

En el anterior artículo os hablaba de cómo buscarnos la vida, utilizando “nectat” (uno de los “must” de los pentesters) para poder extraer en forma “raw” el contenido de la imágen forense a la estación de trabajo del analista.

Pero quizá no se me ocurrío comentarios, que aunque tengamos un dispositivo con tarjeta SD, no siempre será posible crear la imágen puesto que nos podemos encontrar con limitaciones de espacio.

Los dispositivos de hoy en día cuentan ya con una cantidad de memoria importante, (32GB, 64GB, etc…) y como ya supongo que sabréis, para guardar la imágen del dispositivo necesitaremos como mínimo el mismo espacio que el que tiene la memoria principal del dispositivo.

Es habitual que las tarjetas SD nos vengan formateadas bajo el sistema de archivos FAT (o FAT32) y en estos casos tendremos muchos problemas para almacenar en ellas la imágen del dispositivo si el tamaño de la misma supera los 4GB. En estos casos contaríamos con 2 posibles alternativas:

  • Formatear la tarjeta SD con el sistema de archivos exFAT, soportado por la amplia mayoría de dispositivos Android, y que nos permitirá un tamaño ilimitado de archivos.
  • Dividir la imágen forense en bloques, utilizando para cada bloque un tamaño no superior a los 4GB. Por ejemplo, si tenemos una memoria de 32GB, podemos dividirla en 16 archivos distintos de 2GB cada uno con los siguientes comandos:

dd if=/dev/block/mmcblk0 of=/sdcard/imagen.01.dd bs=2G count=1
dd if=/dev/block/mmcblk0 of=/sdcard/imagen.02.dd bs=2G skip=1 count=1
dd if=/dev/block/mmcblk0 of=/sdcard/imagen.03.dd bs=2G skip=2 count=1
dd if=/dev/block/mmcblk0 of=/sdcard/imagen.04.dd bs=2G skip=3 count=1
……
dd if=/dev/block/mmcblk0 of=/sdcard/imagen.16.dd bs=2G skip=15 count=1

Espero que este “anexo” al anterior artículo os haya resultado interesante y si tenéis cualquier duda o sugerencia que queráis hacerme, estoy a vuestra disposición.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.