• Nenhum resultado encontrado

Resultados da aquisição de dados

No documento Digital forensics procedures for apple devices (páginas 139-149)

Lista de siglas

4. Caso de Estudo

4.6. Resultados da aquisição de dados

O foco do caso de estudo está na aquisição e análise dos dados. Nas secções seguintes vão ser apresentados os resultados das aquisições forenses realizadas aos dispositivos, incidindo nas aplicações estudadas. Foram efetuadas várias aquisições, das quais foram criados os seguintes anexos da Tabela 18.

Tabela 18 – Lista de anexos resultantes da aquisição e análise efetuada no projeto.

Nome do ficheiro Data das aquisições Tabela de resultados da aquisição Parte 1.pdf 7-11-2016

22-11-2016 Tabela de resultados da aquisição Parte 2.pdf 25-01-2017 31-01-2017 07-02-2017

Nota importante:

As diferenças encontradas nas aquisições diferem tanto das atualizações dos sistemas operativos dos dispositivos móveis, assim como da atualização de software que foi feita ao XRY, que capacita o software de maiores capacidades de encontrar dados.

A Tabela 19 apresenta as funcionalidades mais importantes das aplicações testadas.

Tabela 19 – Funcionalidades das aplicações.

Aplicação Empresa Associada Mensagem de texto Chamada de Vídeo Chamada de Voz Anexos

Google Alo Google SIM SIM

Cyphr Golden Frog SIM SIM SIM

Imo imo.im SIM SIM SIM SIM

Line Line

Corporation

SIM SIM SIM SIM

Messenger Facebook SIM SIM SIM SIM

Signal whispersystems SIM SIM (1) SIM SIM

Skype Microsoft SIM SIM SIM SIM

Telegram Telegram Messenger LLP

SIM SIM

Viber Viber Media

SARL

SIM SIM SIM SIM

Whatsapp Facebook SIM SIM SIM SIM

iMessage Apple SIM

(1) – Já é possível, devido a uma atualização recente.

Em baixo, na Tabela 20 apresentamos o resultado para as aplicações estudadas. De notar que podem existir diferenças nos resultados da aquisição para os diversos sistemas operativos, tendo em conta as diferentes versões do mesmo e as versões do software XRY que foram utilizadas.

Tabela 20 – Dados obtidos das aplicações.

A Tabela 21 apresenta parte dos dados encontrados e respetivos ficheiros dos dispositivos móveis Apple relativamente às mensagens, número do cartão SIM, registo de chamadas, contas de utilizador, histórico web, websites favoritos, fotografias de aplicações e da câmara, redes wi-fi, lista de contactos, registos de gps e eventos / registos de calendário. Algumas informações foram obtidas através da pesquisa e análise manual de cada ficheiro. Foi também consultada informação nos artigos (Morrissey, 2010; Satish B, 2011).

Núme ro do ca rtã o C ontas de uti li za dor C ontac tos Me nsa ge ns de texto Ane xos troc ados R egist o de C ha mada s F otos pe rfil C ha ve priva da Ende re ços IP Google Alo Cyphr Imo Line Messenger Signal Skype Telegram Viber Whatsapp iMessage

Tabela 21 – Dados obtidos e localização dos mesmos.

Dados Localização do ficheiro ou pasta

Localização principal dos dados das aplicações /private/var/mobile/Containers/Data/Application/ ou /private/var/mobile/Containers/Shared/AppGroup/ Localização principal de fotografias e imagens /private/var/mobile/Media/

Fotografias da camara /private/var/mobile/Media/DCIM/100APPLE/

Mensagens do

dispositivo /private/var/mobile/Library/SMS/sms.db Número de telemóvel

do cartão SIM inserido no dispositivo /private/var/wireless/Library/Databases/CellularUsage.db Histórico de Chamadas do dispositivo /private/var/mobile/Library/CallHistoryDB/ CallHistory.storedata Contas de utilizador no dispositivo /private/var/mobile/Library/Accounts/Accounts3.sqlite Histórico web da aplicação Safari /private/var/mobile/Containers/Data/Application/ com.apple.mobilesafari/Library/Safari/History.db Base de dados de fotografias /private/var/mobile/Media/PhotoData/Photos.sqlite Conta de utilizador gmail /private/var/mobile/Containers/Data/ Application/com.google.Gmail/Library/Preferences/ com.google.Gmail.plist Contas de utilizador de e-mail para os quais foram enviados e-mails.

/private/var/mobile/Containers/Shared/AppGroup/ group.com.google.Gmail/

Redes Wi-fi a que o dispositivo esteve ligado ou foram detetadas. /private/var/preferences/SystemConfiguration/ com.apple.wifi.plist

Lista de contactos /private/var/mobile/Library/AddressBook/ AddressBook.sqlitedb

Imagens dos contactos do dispositivo e dados dos contactos /private/var/mobile/Library/AddressBook/ AddressBookImages.sqlitedb Chamadas dos dispositivos /private/var/wireless/Library/CallHistory/call_history.db Websites favoritos que

foram guardados. /private/var/mobile/Library/Safari/Bookmarks.db

Registos de GPS /private/var/root/Library/Caches/locationd/consolidated.db Eventos de calendário e notas /private/var/mobile/Library/Calendar/Calendar.sqlitedb Nome do dispositivo e configurações de rede relativamente ao cartão SIM /private/var/preferences/SystemConfiguration/preferences.plist

A Tabela 22 apresenta os tipos de dados encontrados e respetivos ficheiros relativamente às aplicações testadas.

Tabela 22 - Tabela com tipos de dados e ficheiros com provas importantes relativos às aplicações estudadas.

Dados Localização do ficheiro

Google Alo – Número de telemóvel do cartão SIM

/private/var/mobile/Containers/Data/ Application/com.google.fireball/Library/ Preferences/ com.google.fireball.plist Cyphr - Chave privada, registo

de conversas entre contactos, nomes dos contactos e contas de utilizador com quem se trocou texto e anexos

/private/var/mobile/Containers/

Data/Application/com.goldenfrog. cyphr.mobile/Documents/ Cyphr.sqlite

Cyphr – Pasta com anexos trocados durante conversas

/private/var/mobile/Containers/Data/ Application/com.goldenfrog.cyphr.mobile/ Documents/cyphr/

Imo - Número de telemóvel relativo ao cartão instalado no dispositivo e nome da conta de utilizador da aplicação

/private/var/mobile/Containers/Shared/

AppGroup/group.im.imo/Library/Preferences/ group.im.imo.plist

Imo - Número de telemóvel de um dos contactos com quem se trocou texto e imagens.

/private/var/mobile/Containers/Shared/

AppGroup/group.im.imo/Library/Preferences/ ioimiphone.plist

Imo - Número de telemóvel da conta da aplicação e número de telemóvel de um contacto com quem se trocou texto e imagens.

/private/var/mobile/Containers/

Data/Application/imoimiphone/Documents/ imo_state.dat

Line - Número de telemóvel relativo ao cartão instalado no dispositivo e nome da conta de utilizador da aplicação.

/private/var/mobile/Containers/Data/

Application/jp.naver.line/Library/Preferences/ jp.naver.line.plist

Line - Lista de contactos da aplicação com nome e número de telemóvel e mensagens trocadas entre os contactos e respetivos números de telemóvel. Registo de chamadas efetuadas. /private/var/mobile/Containers/ Shared/AppGroup/group.com.linecorp.line/ Library/ ApplicationSupport/PrivateStore /P_u8b9ad4ec8bc4325393881a1 d47a96ec8/Messages/Line.sqlite

Line - informação de uma chamada de vídeo recebida e o nome do contacto.

/private/var/mobile/Library/SpringBoard /PushStore/ jp.naver.line.pushstore.plist Line – pasta de anexos

trocados.

\private\var\mobile\Library\Application Support\PrivateStore\

P_u8b9ad4ec8bc4325393881a1d47a96ec8\Message Attachments

Messenger - Chave privada e nome de utilizador da aplicação.

/private/var/mobile/Containers/Data/ Application/com.facebook.Messenger/

Library/Preferences/ com.facebook.Messenger.plist Messenger - informação dos

contactos da aplicação

Messenger e respetivos nomes.

/private/var/mobile/Library/SpringBoard /ApplicationShortcuts/

com.facebook.Messenger.plist

Signal - Informação de uma chamada recebida e do respetivo contacto.

/private/var/mobile/Containers/Data/

Application/org.whispersystems.signal/ Library/Preferences/private/var/

mobile/Library/SpringBoard/PushStore/

Skype - informação da conta de utilizador do utilizador da aplicação. /private/var/mobile/Containers/Data/ Application/ com.skype.skype/Library/Preferences/ com.skype.skype.plist

Skype - informação de um dos contactos com os quais foram trocados texto e anexos.

/private/var/mobile/Library/SpringBoard/

Telegram – Informação sobre os contactos com quem se trocou texto e anexos

/private/var/mobile/Library/

SpringBoard/ApplicationShortcuts/ ph.telegra.Telegraph.plist

Telegram - informação de um dos contactos, nomeadamente o nome da conta.

/private/var/mobile/Library/ SpringBoard/PushStore/ ph.telegra.Telegraph.pushstore Viber - informação relativa ao

número de telemóvel associado à conta de utilizador.

/private/var/mobile/Containers/Data/Application/ com.viber/Library/Preferences/com.viber.plist

Viber - Fotografia do perfil de utilizador da conta local.

/private/var/mobile/Containers/Shared/

AppGroup/group.viber.share.container/avatar.jpg Viber - informação relativa aos

contactos com que se trocou informações

/private/var/mobile/Containers/Shared/

AppGroup/group.viber.share.container/ Shared.data Viber – Pasta com anexos

trocados durante as conversas entre contactos.

/private/var/mobile/Containers/ Data/Application/com.viber/ /Documents/Attachments Viber - Miniaturas das fotos de

perfil da conta de utilizador.

/private/var/mobile/Containers/

Data/Application/com.viber/ Documents/ViberIcons Viber - mensagens trocadas

contactos da aplicação, números de telemóvel, registo de anexos trocados, registos de chamadas feitas e recebidas

/private/var/mobile/Containers/ Data/Application/com.viber/ Documents/contacts.data

Viber - número de telemóvel associado à aplicação /private/var/mobile/Containers/ Data/Application/com.viber/Documents/ Settings.data WhatsApp – Contactos bloqueados /private/var/mobile/Containers/Data/Application/ net.whatsapp.WhatsApp/Documents/ blockedcontacts.dat.plist WhatsApp - registos de

Chamadas com duração entre outros dados e os respetivos nomes de utilizador e números de telemóvel e registo dos contactos com quem se efetuou chamadas /private/var/mobile/Containers/Data/ Application/ net.whatsapp.WhatsApp/Documents/ calls.backup.log.plist WhatsApp - registos de Chamadas e os respetivos nomes de utilizador e números de

/private/var/mobile/Containers/Data/ Application/

telemóvel e registo dos contactos com quem se efetuou chamadas

net.whatsapp.WhatsApp/Documents/ calls.log.plist WhatsApp – Pasta com ficheiros

“.log” com registos de números de telemóvel associados às contas de utilizador dos contactos e do utilizador local, nome da operadora associada ao cartão SIM e registos de chamadas.

/private/var/mobile/Containers/ Data/Application/net.whatsapp. WhatsApp/Library/Logs/

WhatsApp – Pasta com anexos trocados durante o chat.

/private/var/mobile/Containers/Data/

Application/net.whatsapp.WhatsApp/Library /Media

WhatsApp - números de telemóvel associados às contas de utilizador com quem o utilizador trocou mensagens no chat.

/private/var/mobile/Containers/Data/ Application/net.whatsapp.WhatsApp/ Library/Preferences/UITextInput ContextIdentifiers.plist

WhatsApp - Contém, para cada contacto do chat o registo de texto trocado nas conversas

/private/var/mobile/Containers/ Shared/AppGroup/group.net.

whatsapp.WhatsApp.shared/ ChatSearch.sqlite

WhatsApp - contactos com quem se trocou mensagens no chat, índice de anexos trocados nas mensagens e texto trocado entre as conversas e os respetivos contactos private/var/mobile/Containers/ Shared/AppGroup/group.net.whatsapp. WhatsApp.shared/ChatStorage.sqlite WhatsApp - contactos do telemóvel /private/var/mobile/Containers/ Shared/AppGroup/group.net.whatsapp. WhatsApp.shared/Contacts.sqlite WhatsApp - Número de

telemóvel associado à conta de utilizador do whatsapp /private/var/mobile/ Containers/Shared/AppGroup/ group.net.whatsapp.WhatsApp.shared/ Library/Preferences/ group.net. whatsapp. WhatsApp.shared.plist

WhatsApp – Pasta com foto de perfil do utilizador local e contactos. /private/var/mobile/Containers/ Shared/AppGroup/group.net. whatsapp.WhatsApp.shared/ Media/Profile/ iMessage - mensagens SMS do dispositivo com o texto trocado e os respetivos números que enviaram as mensagens

No documento Digital forensics procedures for apple devices (páginas 139-149)
Descarregar agora "Digital forensics proc..."

Outline

Documentos relacionados