Blog

Análisis forense iPhone – Parte II – Análisis del Backup (2ª parte)

Serie Análisis Forense iPhone

Esta serie está dedicada a conocer aspectos internos del funcionamiento del iPhone. Para ello se explicarán técnicas forenses de extracción y análisis de datos del teléfono así como aprender a aprovecharse de bugs para ganar acceso a elementos del sistema en principio prohibidos.

0 Como enfrentar un Iphone con passcode: Recopilación de bypasses [Todos, No Jailbreak]

1 Análisis forense iPhone – Parte I    – Análisis del Backup (1ª Parte) [Todos, No Jailbreak]

2 Análisis forense iPhone – Parte II   – Análisis del Backup (2ª Parte) [Todos, No Jailbreak]

3 Análisis forense iPhone – Parte III  – Copia bit a bit a través de SSH [Todos, Jailbreak]

4 Análisis forense iPhone – Parte IV  – Cómo atacar por Fuerza Bruta el passcode del iPhone [Todos, No Jailbreak]

5 Análisis forense iPhone – Parte V   – Cómo crackear / descifrar el Keychain [Todos, Jailbreak]

6 Análisis forense iPhone – Parte VI  – Entendiendo la estructura de claves AES

7 Análisis forense iPhone – Parte VII – Accediendo con Ramdisk [iPhone < 4S, No Jailbreak]

 

Después de mostrar el otro día como conseguir los ficheros del Backup del iPhone “traducidos” a su formato normal, hoy voy a mostrar las rutas de los ficheros más “interesantes” de analizar así como la estructura de los mismos y algunas aplicaciones para abrirlos.

/*****************************

1. Tipos de ficheros

2. Aplicaciones para abrir los ficheros

3. Paths importantes

*****************************/

1. Tipos de ficheros

Los tipos de ficheros que nos encontraremos serán los siguientes:

1.1 Sqlite:

Se trata de un tipo de base de datos que no necesita instalación previa. En el propio fichero de la base de datos está contenida toda la información.

Os dejo 2 links con más información sobre la estructura interna de sqlite por si queréis echar un vistazo. No lvoy a ponerlo porque se podría hacer un Post entero solo explicando esto.

http://www.sqlite.org/fileformat.html

http://forensicsfromthesausagefactory.blogspot.com.es/2011/05/analysis-of-record-structure-within.html

1.2 Plist:

Es un tipo de fichero de propiedades que contiene información de aplicaciones y del propio sistema.

Dejo otro link para ver la estructura interna del fichero.

https://developer.apple.com/library/mac/documentation/Darwin/Reference/ManPages/man5/plist.5.html

2. Aplicaciones parar abrir los ficheros

El primer tipo de aplicaciones que debemos usar es un editor hexadecimal. Un editor hexadecimal abre absolutamente cualquier fichero y nos lo muestra en “bruto”. De esta manera siempre podemos visualizar el contenido del fichero aunque no aparezca de una forma bonita.

Algunos que he encontrado por la web han sido:

– Es multiplataforma y me ha gustado mucho el diseño que tiene: http://sourceforge.net/projects/wxhexeditor/

– Windows: http://www.hexedit.com/download.htm

– Mac OS: http://ridiculousfish.com/hexfiend/

– GNU/Linux: http://home.gna.org/bless/downloads.html

No está de más que a parte de poder leer los datos en bruto también los leamos con aplicaciones específicas para cada cosa, asi lo siguiente que vamos a necesitar es un lector de sqlite

– El Multiplataforma que más me ha gustado: http://sourceforge.net/projects/sqlitebrowser/

– Windows: http://www.softpedia.es/programa-SQLite-Database-Browser-141732.html

– Linux: http://sqliteadmin.orbmu2k.de/

Como última aplicación, no estaría mal disponer de un lector específico para archivos .plist, ya que apple usa de forma muy habitual estos ficheros para almacenar informacióm

– Windows: http://www.icopybot.com/plist-editor.htm

– Mac OS: http://www.fatcatsoftware.com/plisteditpro/

– GNU/Linux: http://scw.us/iPhone/plutil/

3. Paths importantes

Las Rutas que muestro a continuación han sido sacadas de un Backup de iOS en la versión 6.1. Es posible que si se buscan estas mismas rutas en versiones anteriores o futuras, no coincidan.

3.1 iOS Files

En la Carpeta “iOS Files” está concentrada la mayoría de información a analizar.

3.1.1 Contactos

Los contactos son almacenados en una base de datos úbicada en: /iOS Files/Library/AddressBook/AddressBook.sqlitedb

Imagen 2013-07-27 a la(s) 17.08.43

También podemos encontrar las imágenes pertenecientes a los contactos en: /iOS Files/Library/AddressBook/AddressBookImages.sqlitedb

imagenes addressbook

3.1.2 historial llamadas

El historial de llamadas lo podemos encontrar en: /iOS Files/Library/CallHistory/call_history.db

historial llamadas

call_history

3.1.3 SMS

Los SMS podemos encontrarlos en: /iOS Files/Library/SMS/sms.db

sms

3.1.4 Notas

Las notas se encuentra ubicadas en: /iOS Files/Library/Notes/notes.db

notas

3.1.5 Fotos

Las fotos son almacenadas en 2 carpetas. La ubicación donde se almacenan cuando se hacen es: /iOS Files/Media/DCIM/100APPLE

fotos1

Si se tiene habilitada la opción de subir a icloud estarán aquí: /iOS Files/Media/PhotoStreamsData/ …

fotos2

En el Fichero Photos.sqlite (/iOS Files/Media/PhotoData/Photos.sqlite) podemos encontrar información sobre todas las fotos en el teléfono.

fotos db

3.1.6 Wifis

Poedmos ver los Wifis que tiene guardados el teléfono mediante la ruta: /iOSFiles/SystemConfiguration/com.apple.wifi.plist.

rutawifi

Imagen 2013-07-27 a la(s) 17.39.16

Una vez ubicados las principales bases de datos relativas al funcionamiento del teléfono pongo la ruta donde se encuentran aplicaciones que casi todo el mundo usa.

3.2 Whatsapp

La carpeta donde se encuentra la información de Whatsapp es: /net.whatsapp.WhatsApp/

Más concretamente, el fichero donde encontraremos las conversaciones es el siguiente: /net.whatsapp.WhatsApp/Documents/ChatStorage.sqlite

ruta whatsapp2

whatsapp

También podemos ver los contactos que tiene en la agenda de Whatsapp en: /net.whatsapp.WhatsApp/Documents/Contacts.sqlite

contactos whatsappEs posible también ver las fotos recibidas y descargadas en el iPhone a través de la aplicación Whatsapp en: /net.whatsapp.WhatsApp/Library/Media

fotosWhatsapp

3.3 Line

La carpeta donde se encuentra la información de Line es: /jp.naver.line/

En concreto, las conversaciones quedan guardadas en: /jp.naver.line/Documents/talk.sqlite

line

Y bueno, hasta aquí ha llegado la segunda parte del análisis forense del Backup de un iPhone. Espero que os haya gustado 😉

Un saludo y felices vacaciones!

Carlos Rebollo – @Charliesec
carlos@highsec.es

  1. Astrid
    Astrid12-08-2013

    hola que tal, tengo duda con el capitulo 2 , espero y me puedas ayudar, te agradecere mucho.

    mi skype es astrid_26_7

    Saludos

Leave a Reply

*

    No Twitter Messages