21 diciembre 2015

Análisis forense en Android con Viaextract sobre Caine 7





Si alguna vez te has planteado llevar a cabo un análisis forense en un dispositivo móvil, sobre todo Android, habrás utilizado una herramienta llamada Viaextract. Esta fantástica herramienta, originalmente de la empresa Viaforensics (actualmente llamada Nowsecure), te permite en su versión libre, extraer toda la información disponible a nivel lógico. En la versión de pago, además es capaz, entre otras funciones, de hacer un análisis utilizando extracción física.

Viaextract, habitualmente viene incorporada dentro de una distribución Linux llamada Santoku, desarrollada originalmente por Viaforensics y mantenida actualmente por Nowsecure. En la web de Nowsecure se puede descargar una máquina virtual en formato virtualbox o en formato vmware, por la que se puede utilizar directamente la herramienta, tras arrancar la máquina virtual, en modo plug and play.

Santoku es una distribución Linux específica para análisis forense, y especializada en herramientas para dispositivos móviles. Es una de mis distribuciones preferidas, fundamentalmente por la inclusión de Viaextract. Sin embargo, en mi opinión, no es tan completa para el análisis forense del resto de sistemas, por lo que en otras ocasiones he declarado mi preferencia por CAINE. Incluso en ese post hablaba de la posibilidad de incluir los repositorios de Santoku, permitiendo tener lo mejor de dos mundos, en cuanto a posibilidades de herramientas se refiere.

Al haberse publicado hace un mes la última versión de Caine, la 7, he querido incluir un procedimiento a seguir para hacer funcionar Viaextract en Caine, según lo hice para el portátil que utilizo habitualmente para peritaje y análisis forense.

Así pues, si queréis poder instalar las herramientas de Santoku Linux en Caine 7 (o en cualquier otra distro basada en Ubuntu 14.04) podéis seguir los siguientes pasos:

1.-) sudo apt-key adv --keyserver hkp://p80.pool.sks-keyservers.net:80 --recv-keys F6D8FCF5A647374B

2.-) sudo apt-key adv --keyserver hkp://p80.pool.sks-keyservers.net:80 --recv-keys F6D8FCF5A647374B

Con esto, recuperamos las claves públicas necesarias para poder instalar paquetes firmados por viaforensics y nowsecure.

3.-) Añadir a /etc/apt/sources.list o crear un fichero nuevo con extensión .list en /etc/apt/sources.list.d con el siguiente contenido:
deb https://apt.nowsecure.com/repo/ trusty main
# deb-src https://apt.nowsecure.com/repo/ trusty main
deb http://packages.santoku-linux.com/ubuntu trusty main

4.-) adduser santoku

Necesario puesto que el paquete viaextract hace referencia a este usuario (el que viene por defecto con contraseña santoku1 en la distro Santoku Linux)

5.-) apt-get remove android-tools-adb

La herramienta adb viene incluída por el paquete android-sdk (en los repositorios de nowsecure o de santoku, no recuerdo ahora), que es dependencia del paquete viaextract, por lo que si no eliminamos el paquete android-tools-adb, no se instalará

6.-) apt-get update && apt-get install viaextract

Varios megabytes después, se instalará viaextract. El siguiente paso será licenciar el producto correctamente, ya sea con la versión community o con la de pago, ejecutando vactivate en una terminal.

Y ya por fin, desde línea de comandos también, ejecutar viaextract o hacer un enlace directo en el escritorio (o donde más rabia os de) a /usr/bin/viaextract