08 septiembre 2010

Forenses en iPhone/iTunes

Después de buscar un hueco en esta época de exámenes (mucha suerte a los que tengan uno próximamente) pude leer otra vez las dos estupendas y detalladas entradas de ConexiónInversa sobre análisis forense en iPhone (1 y 2), ya que me he visto en la necesidad de recuperar algunos mensajes de texto en uno de estos terminales, con la salvedad de que estaba actualizado a iOS4 y la estructura de archivos es algo distinta. 

Por ejemplo, los archivos ya no mantienen la extensión "mddata", pero el nombre del hash del fichero, la base de datos que contiene y su estructura sigue siendo la misma. De esta forma el archivo que contiene los mensajes de texto almacenado en las copias de seguridad de iTunes pasa de ser "3d0d7e5fb2ce288813306e4d4636395e047a3d28.mddata" a "3d0d7e5fb2ce288813306e4d4636395e047a3d28".

Otra de las peculiaridades en los mensajes de texto es que son indexados por  la herramienta Spotlight y se almacenan algunos de ellos en /private/var/mobile/Library/Spotlight/com.apple.MobileSMS en el fichero SMSSearchdb.sqlitedb. La siguiente pantalla muestra un ejemplo de su procesado con la herramienta Oxygen Forensic 2010 (una demo):

2 comments :

finadiños dijo...

Antes de nada: Gracias (por lo de la suerte a los examenes)

Lo mismo nos explicas como configurar un servidor vpn pptp en un android que a hacer un forense en un aifon! Menudo dominio!

conexioninversa dijo...

Alex, Gracias por la info.

Una cosa menos a currarme, me toca pronto mirar otro iPhone y me viene como anillo al dedo.

Un abrazo.

Pedro