E aí [Música] em forense computacional e redes aula 7 forense em dispositivos móveis o Olá seja muito bem-vindo seja muito bem-vinda aula de número sete da disciplina de Florença e computacional e de redes o objetivo é apresentar alguns detalhes e como realizar uma investigação florenze em dispositivos móveis o conteúdo só se informações que Residem o celular etapas do processo de análise forense imóvel como apreensão aquisição exame análise e por and não invasivo e induziu informações que Residem no celular informações que Residem no celular então antes de fazer qualquer análise florenze investigador deve saber quais informações
do celular podem se transformar em evidência esse papel ele é muito importante é que o ventilador ao período antes de fazer uma a distração para tu dizer daquela evidência pode estar no dispositivo pensaremos da seguinte maneira é o dispositivo que nós temos hoje no nosso bolso o smartphone por exemplo levar exatamente mesmo poder com o tempo praticamente mais o poder de processamento Que nós tínhamos em computadores lá nos anos 2000 2000 até 2010 mais ou menos ou até superiores processamento então nós temos hoje até a capacidade de armazenamento tanto grande comprar aquilo que de fato
Nossa tivemos em dispositivos que já foram utilizados somente para telefonia aí mensajeria agora uma smartphone ele possui diversas evidências importantes aquele já ficam armazenados lá como imagens vídeos áudios SMS mensagens que podem ser do WhatsApp do telegram do signo ao a mensagens que podem ser de algum cliente de e-mail que você tenha ao que ao suspeito pode ter instalado naquele dispositivo móvel temos as mesmas coisas que os browsers os computadores possuem tão navegação histórico de navegação cookies então naquele momento que pode fazer uma busca e apreensão por exemplo já o investigador o perito ele tem
que ter em mente o que ele pretende buscar o que ele está procurando dentro daquele dispositivo não somente pegar e querer fazer uma cópia assim como a gente faz um HD por exemplo e só ia na visão de tudo porque pode ser praticamente inviável dependendo do tempo que você tem para fazer essa análise o Tom conseguimos outras informações também que são importantíssimas é como dados de geolocalização que podem ficar gravados no imagem e essa opção ainda estiver habilitado podemos obter aí outras informações de geolocalização de aplicativos como aplicativos que são utilizados no trânsito lá como
os dados de GPS aí de aplicativos como eles e por exemplo Google Maps então é uma gama infinita basicamente infinita de informações depende muito só da capacidade do dispositivo na da capacidade de armazenamento daquele dispositivo pedro-usa que a pessoa fez então é natural é imprevisível que naquela circunstância de investigação de Assis Paiva mais ou menos o que vai ser pesquisado que vai ser buscado dentro daquele e pode ocorrer por exemplo de você pegar aquele dispositivo e levar para o laboratório para fazer uma análise mais aprofundada mas pode ocorrer também de que alguma algum crime como
uma ofensa algum fundamento que ocorreu por algum dispositivo para um meio da para um aplicativo de mensajeria como o WhatsApp ou até o Messenger alguma pagamento do Facebook por exemplo tem alguma ofensa que você precisa registrar em ata notarial ou você queira tirar um print daquela tela aí tudo vai depender do Objetivo vai depender do cenário que aquilo está incluso do momento em que você está precisando coletar aquela informação a voltando aqui para o nosso o nosso slide1 a etapas dos processos de análise forense imóvel e quais são as etapas né dos processos de análise
de freio de móvel etapa um apreensão feita uma dois aqui então e terceira etapas amiga errado talvez alguma outra literatura você pode encontrar a etapa 4 né e ficaria aí diferente separado análise e exame a como nós temos aqui na etapa 3 aí tava uma etapa de apreensão aquele momento aqui vai depender pode Qual é o seu cargo Qual é a sua atuação nesse procedimento que você for um policial investigador se você tiver uma mandado de busca e apreensão você vai fazer a apreensão se você tiver trabalhando no meio de corporativo você pode fazer uma
apreensão e ilusória por assim dizer aí você vai pegar aquele dispositivo na onde forma coercitiva Por que você naturalmente vai ter a autorização da empresa aquele dispositivo fora da empresa a fase de aquisição e ela basicamente é aquele momento onde você pode executar e ao dispositivo em mãos Aí você faz aquisição da evidência daquilo que está dentro do dispositivo e as aquisição a pode ser uma aquisição lógica ou uma aquisição física ela pode ser uma aquisição sol de chamada de determinados artefatos ou uma aquisição física que a gente chama aí de fazer uma cópia de
chave de basicamente do dispositivo hoje com smartphones a quanto dispositivos móveis e isso pode ser um pouco dificultado e no na ideal para Teresa parte final nós temos o exame análise aí é quando você já tenha Evidente se você vai examinar fazer a indexação e fazer análise geral seu relatório e apreensão bom então apreensão é basicamente aprendi no Passo da apreensão nós fazemos o que ativamos o modo avião a que daí ele vai desativar e também o wi-fi aí todos os pontos de acesso é inclusive também quando possível clonar o cartão SIM do dispositivo o
modo de avião Olimpo precisa ser acionado e também desativar as comunicações de wi-fi para evitar que o a pessoa dona daquele dispositivo que foi apreendido ela não tenha mais o acesso para fazer um like remoto por exemplo E aí você acabar perdendo todas as suas evidentes e inclusive também para evitar alterações que podem ocorrer com atualizações de serviço de arte cidade aplicativos que estão naquele a operar garantia EA cadeia de Custódia sempre seguir você passo além do Ativar o modo de avião também pode ser utilizado o que a gente chama de fora daí pegue o
gaiola de fora né é uma uma bolsa né dispositivo como uma uma pequena patinha Onde você coloca o dispositivo mobile que você falou você aprendeu para evitar qualquer interferência externa ou seja ele não vai receber e nem enviar nenhum sinal para fora ou para dentro daquela [Música] gaiola de Faraday a aquisição não pode vir aqui de som então recuperar os dados do dispositivo móvel desbloquear a tela por meio de um pin utilizado ferramentas forense para obtenção das informações essa parte de aquisição a tem uma diferença até bastante Sutil em relação às aquisições que são feitas
de dispositivos como HD SAS identi pen drive Kingston positivos móveis a gente acaba tendo a necessidade na grande maioria das vezes de injetar algum script ou injetar algum aplicativo para poder fazer aquisição daquela informação por porque não tem como você fazer uma cópia Live simplesmente só plugando o cabo USB por exemplo 1 é uma ferramenta Frenzy sem que você faça uma interferência alguma forma por mínima que ela ocorra ainda vai ter uma interferência então a gente teria porque a conhecida em como adulteração de Guilherme mas é de conhecimento de todos os profissionais de florenze é
profissionais que estudam o tema que isso pode ocorrer a E aí você detalha isso o seu relatório e pode ser que você tenha que detalhar o o explicar no caso de estar em juízo para relatar o ocorrido a volta no privado outro desafio né dos especialistas forenses nesse caso é superar o cenário abundante em constante mudança dos aplicativos móveis e nós temos uma infinidade aí de aplicativos móveis que fazem a mesma coisa nós temos uma gama infinita né de concorrente e a importante que o análise também conheça a esses aplicativos e principalmente para saber o
que estava procurando o exame e análise o exame análise a última fase tão identificar e o tipo de dispositivo móvel tipo de rede operadora né provedor do serviço florenze não invasivo versus invasivo e o que venha ser aí florenze não invasiva e a farinha de vazio para do método não-invasivo nós temos o desbloquear o bloqueio dos cinco ou bloqueio do operador e atualização do sistema operacional modificação Me dê o número de imagem etc então a gente tentar evitar que isso acabe ocorrendo porque se a gente tem a possibilidade de desbloquear uma tela por exemplo nós
não vamos fazer grandes alterações naquela evidência E aí é um fator que pode ser considerado positivo para o analista forense a extração manual é o exame odores por ele simplesmente navega pelos dados utilizando né a tela sensível ao toque e as informações de interesse descobertos no telefone São documentados fotograficamente então a gente não vai fazer uma instalação de um aplicativo de terceiros para poder fazer extração naquela informação EA extração lógica e daí ela envolve instruir uma conexão entre o dispositivo móvel a estação de trabalho forense usando o cabo USB Bluetooth o vermelho RJ né E
aí você pode fazer ouro para coleta ou por aquisição na Bluetooth ou por um meio de conexão de rede e após a parte de conexão computador envia solicitações de comandos ao dispositivo as sempre fazendo isso de uma maneira bastante Sutil Mas não tão invasiva no lado negativo nestes casos né entretanto essa técnica Pode adicionar o dados ao dispositivo móvel pode alterar a integridade das evidências a E além disso os dados excluídos raramente são acessíveis né na extração lógica e aí a gente volta lá para aquela questão e eu comentei anteriormente da extração física da da
aquisição física e da posição lógica então aquisição lógica nós temos um limite e está o lado a um nível de permissão do usuário daquele sistema operacional aos pegar um exemplo do Android ele tem um usuário com acesso limitado a nossa temos aí a consciência de que existe o usuário root para Android por exemplo usuário root ele vai ter um nível de acesso um monte de maior entretanto ele não é liberado ele não vem de fábrica liberado E aí é preciso que se faça outras formas de acesso para chegar nós fica fazer escalação de privilégio pra
chegar nos olhos no caso da expressão lógica ela vai ficar limitada ao acesso do usuário que não é volte logo para conseguir coletar informações né imagens arquivos que foram apagados precisamos ter um livro de acesso maior E aí fazer uma extração física para isso o método invasivo ele já é muito provável que a única maneira de recuperar o dispositivo seja remover manualmente de criar uma imagem dos chips de memória trás do dispositivo e uma extração um pouco mais avançada onde a gente desmonta dispositivo e temos aí algumas técnicas como chevrofor por exemplo onde a gente
Remove aquela o chip do dispositivo onde as coisas ficam armazenados onde os dados ficam armazenados E aí com algumas ferramentas mais específicas nós podemos extrair as informações ele se assemelha né A extração física é aquisição 15 aqui só fingir que ela pode ocorrer puramente criar um software como ferramenta as folhas de calcular o Celebrity ou se você tiver o acesso root você pode fazer a estação física já o chip off nesse caso como nós havíamos comentado ele vai a ser um pouco diferente porque a gente não está trabalhando unicamente com os óculos nós vamos pegar
o dispositivo de montá-lo e extrair aquele chip é esse procedimento ele é feito Normalmente quando o o dispositivo ele não liga mais é quando ele já está danificado de alguma maneira E aí a gente vai para essa técnica O que ocorre é o ponto negativo desse tipo de extração é que o depois de feito essa remoção do chip tá ele não irá mais poder ser utilizado ele vai ficar inoperante tá ela não é qualquer momento que você deve utilizar essa técnica tem que usar com bastante falta temos também a a extração como eu comentei o
ferramenta E aí essas ferramentas pode ter o celebrar a gente quer realmente israelense e utilizado muito aí por forças policiais temos outras ferramentas como uma by Edith e também o oxygen detecte uma ferramenta fornece considerações finais é o que nós vimos até agora foi análise forense etapas dos processos de análise forense um método não-invasivo e o método invasivo A então muito obrigado por você ficar na sala até o final agora que você na próxima aula aí um grande abraço e [Música]
![Upbeat Lofi - Power and Energize Your Workday - [R&B, Neo Soul, Lofi Hiphop]](https://img.youtube.com/vi/ONcY0BM5EAg/maxresdefault.jpg)
