Recientemente recibí el
anuncio Windows 10 Insider Preview Build 18999 que incluye una actualización para la aplicación "Your Phone", y lo primero que hice fue: ¿hay algo útil para el análisis forense digital?
Entonces, instalé inmediatamente esta aplicación en mi estación de trabajo de prueba y la conecté a mi teléfono Android. Al mismo tiempo, estaba verificando todas las actividades del sistema con Process Monitor para comprender dónde se almacenan todos los archivos de la aplicación Su teléfono.
Parece que todos los archivos se encuentran en:
% userprofile% \ AppData \ Local \ Packages \ Microsoft.YourPhone _ ??????? \ LocalCache \ Indexed \ ????????????????? \ System \ Database
Donde "????" es una ID aleatoria
Aquí está el contenido dentro de esta carpeta:
Y puede ver un par de archivos
.db que son
bases de datos SQLiteBueno, descargué un navegador SQLite simple y los abrí uno por uno para verificar las partes internas. Algunas de las bases de datos estaban vacías, por lo tanto, describiré solo las que tengan información de "sonido forense".
1. Notificaciones.dbTabla de notificaciones :
Cuando algo sucede en su teléfono inteligente Android, aparece la notificación sobre el evento y la aplicación Su teléfono coloca este evento aquí, en esta tabla. Envié un correo electrónico desde el escritorio a mi teléfono inteligente, apareció una notificación emergente sobre una nueva carta y aquí puede ver muchas propiedades que se extrajeron de la notificación:
nombre de la aplicación : mi aplicación de correo electrónico móvil
bigtext - asunto y texto
bigtitle - mi nombre
posttime : marca de tiempo cuando el servidor de correo electrónico ha recibido el mensaje en formato de hora Unix
subtexto - dirección de correo electrónico del remitente
marca de tiempo - marca de tiempo cuando el mensaje ha sido enviado
Bueno, un investigador ni siquiera necesita el mensaje en sí, puede obtener mucha información, incluido el texto, de la notificación.
2. Phone.db¡Encontré muchas mesas interesantes dentro!
Tabla de direcciones :
Boom! Todos los números entrantes con marcas de tiempo! Genial!
Mesa de contacto :
BOOM de nuevo! Toda la lista de contactos, incluso con fotos :))
Tabla de mensajes :
Mensajes de texto (SMS) con los nombres de los remitentes (he cortado los remitentes con números, pero puedes confiar en mí, están allí) y marcas de tiempo, y mensajes de texto (sí, de bancos y más o menos)
Tabla de suscripción :
Aquí está la información sobre las tarjetas SIM
3. Photos.dbMesa de fotos :
¡Qué sorpresa! Todas las fotos almacenadas en el teléfono móvil con marcas de tiempo :-)
4. Settings.dbTabla phone_apps :
Lista de todas las aplicaciones instaladas. No es tan interesante, pero quién sabe ...
Entonces, como final, ¿qué pienso al respecto?
Por supuesto, es una forma realmente insegura de almacenar información tan importante en bases de datos sin cifrar. Por ejemplo, un intruso puede obtener acceso remoto a su computadora portátil o estación de trabajo (usando
Telegram RAT , jaja :)) y descargar una gran cantidad de sus datos personales importantes.
Por otro lado, este es un buen lugar para obtener más evidencias digitales para un investigador forense informático, por ejemplo, en los casos en que inseder estuvo involucrado en un ciberataque dirigido a la empresa. Obtener un número de teléfono del organizador del ataque es un buen punto para una mayor investigación.
¡Asegúrate y gracias por la atención!