Recentemente, recebi o
anúncio do Windows 10 Insider Preview Build 18999, incluindo uma atualização para o aplicativo "Your Phone", e minha primeira coisa foi: existe algo útil para análise forense digital?
Portanto, instalei imediatamente este aplicativo na minha estação de trabalho de teste e o conectei ao meu telefone Android. Ao mesmo tempo, verifiquei todas as atividades do sistema com o Process Monitor para entender onde todos os arquivos do aplicativo Your Phone estão armazenados.
Parece que todos os arquivos estão localizados em:
% userprofile% \ AppData \ Local \ Packages \ Microsoft.YourPhone _ ??????? \ LocalCache \ Indexed \ ???????????????? \ System \ Database
Onde "????" é um ID aleatório
Aqui está o conteúdo desta pasta:
E você pode ver alguns arquivos
.db que são
bancos de dados SQLiteBem, eu baixei um navegador SQLite simples e os abri um por um para verificar os internos. Alguns dos bancos de dados estavam vazios; portanto, descreverei apenas aqueles com informações "Forensically Sound".
1. Notifications.dbTabela de notificações :
Quando algo acontece no seu smartphone Android, a notificação sobre o evento é exibida e o aplicativo Your Phone coloca esse evento aqui, nesta tabela. Enviei um email da área de trabalho para o meu smartphone, uma notificação pop-up sobre nova carta apareceu e aqui você pode ver muitas propriedades que foram extraídas da notificação:
appname - meu aplicativo de email para celular
bigtext - assunto e texto
bigtitle - meu nome
posttime - registro de data e hora em que a mensagem foi recebida pelo servidor de email no formato de horário Unix
subtext - endereço de email do remetente
timestamp - carimbo de
data e hora quando a mensagem foi enviada
Bem, um investigador nem precisa da mensagem em si; ele pode obter muitas informações, incluindo o texto, a partir da notificação.
2. Phone.dbEncontrei muitas mesas interessantes por dentro!
Tabela de endereços :
Boom! Todos os números recebidos com timestamps! Legal!
Tabela de contato :
BOOM de novo! Toda a lista de contatos, mesmo com fotos :))
Tabela de mensagens :
Mensagens de texto (SMS) com os nomes dos remetentes (cortei os remetentes com números, mas você pode confiar em mim - eles estão lá), carimbos de data e hora e texto (sim, de bancos e outros)
Tabela de assinaturas :
Aqui estão as informações sobre cartões SIM
3. Photos.dbTabela de fotos :
Que surpresa! Todas as fotos armazenadas no celular com timestamps :-)
4. Settings.dbTabela Phone_apps :
Todos os aplicativos instalados listam. Não é tão interessante, mas quem sabe ...
Então, como final - o que eu penso sobre isso?
É claro que é uma maneira realmente não segura de armazenar informações tão importantes em bancos de dados não criptografados. Por exemplo, um invasor pode obter acesso remoto ao seu laptop ou estação de trabalho (usando o
Telegram RAT , haha :)) e baixar muitos dos seus dados pessoais importantes.
Por outro lado - este é um bom lugar para obter mais evidências digitais para um investigador forense de computadores, por exemplo, nos casos em que a inseder estava envolvida em um ataque cibernético direcionado à empresa. Obter um número de telefone do organizador do ataque é um bom ponto para uma investigação mais aprofundada.
Esteja seguro e obrigado pela atenção!