Tutoriales

(Análisis forense rápido de Android) ayuda a la recopilación rápida

Android qf (Android Quick Forensics) es una herramienta portátil que se utiliza para simplificar el proceso de obtención de datos forenses relevantes de dispositivos Android. Es el sucesor de Snoopdroid, reescrito en Go y utiliza el archivo binario oficial adb.

androidqf tiene como objetivo proporcionar una utilidad multiplataforma simple y portátil para obtener datos rápidamente de dispositivos Android. Tiene una función similar a mvt-android. Sin embargo, a diferencia de MVT, androidqf también está diseñado para ser ejecutado fácilmente por usuarios sin conocimientos técnicos.

Hospedarse

Los binarios ejecutables para Linux, Windows y Mac deberían estar disponibles en la última versión. Si tiene problemas para ejecutar el binario, es posible que desee crearlo usted mismo.

Para construir androidqf, necesita instalar Go 1.15+.También necesitas instalar makeUna vez que esté listo, puede clonar el repositorio y ejecutar cualquiera de los siguientes comandos para la plataforma que elija:

Hacer linux
Jean Darwin
Haciendo ventanas

Estos comandos generarán un archivo binario Hospedarse/ carpeta.

cómo utilizar

Antes de iniciar androidqf, debe conectar el dispositivo Android de destino a su computadora a través de USB y debe habilitar la depuración de USB. Consulte la documentación oficial sobre cómo hacer esto, pero también tenga en cuenta que los teléfonos Android de diferentes fabricantes pueden requerir pasos de navegación diferentes a los de la configuración predeterminada.

Después de habilitar la depuración de USB, puede continuar iniciando androidqf. Primero intentará conectarse al dispositivo a través de un puente USB, lo que hará que el teléfono Android le solicite que autorice manualmente la clave de host. Asegúrese de autorizarlos, preferiblemente de forma permanente, para que el mensaje no vuelva a aparecer.

Ahora androidqf debería estar ejecutándose y crear una carpeta de obtención en la misma ruta donde colocó el archivo binario androidqf. En algún punto de la ejecución, androidqf le indicará algunas opciones: estas indicaciones pausarán la recopilación hasta que proporcione una opción, así que preste atención.

Se pueden extraer los siguientes datos:

  1. Una lista de todos los paquetes instalados y los archivos de distribución relacionados.
  2. (Opcional) Copias de todos los APK instalados o solo copias de los APK que no están marcados como aplicaciones del sistema.
  3. Producción dumpsys Los comandos de Shell proporcionan información de diagnóstico sobre el dispositivo.
  4. Producción getprop Los comandos de Shell proporcionan información de construcción y parámetros de configuración.
  5. Producción ps El comando de shell proporciona una lista de todos los procesos en ejecución.
  6. (Opcional) Copia de seguridad de mensajes SMS y MMS.

Cifrado y amenazas potenciales

La recopilación de Androidqf en unidades no cifradas puede exponerse a usted, e incluso a aquellos de quienes obtiene datos, a riesgos importantes. Por ejemplo, puede detenerse en el límite en cuestión y su unidad androidqf puede estar ocupada. Los datos brutos no solo pueden revelar el propósito de su viaje, sino que también pueden contener datos muy sensibles (como una lista de aplicaciones instaladas o incluso mensajes SMS).

Idealmente, debería cifrar completamente la unidad, pero es posible que esto no siempre sea posible. También puedes considerar poner androidqf en un contenedor VeraCrypt y llevar contigo una copia de VeraCrypt para instalarlo. Sin embargo, los contenedores de VeraCrypt generalmente solo están protegidos por una contraseña, y es posible que se vea obligado a proporcionar una contraseña.

Alternativamente, androidqf permite usar la clave pública de edad proporcionada para cifrar cada adquisición. Preferiblemente, la clave pública pertenece a un par de claves que el usuario final no posee o al menos no lleva la clave privada. De esta manera, el usuario final no puede descifrar los datos adquiridos incluso bajo presión.

Si coloca un archivo llamado key.txt En la misma carpeta que el ejecutable androidqf, androidqf intentará automáticamente comprimir y cifrar cada adquisición y eliminar la copia original sin cifrar.

Después de recuperar el archivo get cifrado, puede descifrarlo usando age como este:

$ edad –decrypt -i ~ / ruta / a / clave privada.txt -o .zip .zip.age

Tenga en cuenta que al menos parte de los datos no cifrados se pueden recuperar mediante tecnología forense avanzada, aunque estamos trabajando arduamente para aliviar esta situación.

Publicaciones relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba