02- Análisis forense iPhone – Parte II – Análisis del Backup (2ª parte)

Después de mostrar el otro día como conseguir los ficheros del Backup del iPhone “traducidos” a su formato normal, hoy voy a mostrar las rutas de los ficheros más “interesantes” de analizar así como la estructura de los mismos y algunas aplicaciones para abrirlos.

/*****************************

1. Tipos de ficheros

2. Aplicaciones para abrir los ficheros

3. Paths importantes

*****************************/

1. Tipos de ficheros

Los tipos de ficheros que nos encontraremos serán los siguientes:

1.1 Sqlite:

Se trata de un tipo de base de datos que no necesita instalación previa. En el propio fichero de la base de datos está contenida toda la información.

Os dejo 2 links con más información sobre la estructura interna de sqlite por si queréis echar un vistazo. No lvoy a ponerlo porque se podría hacer un Post entero solo explicando esto.

http://www.sqlite.org/fileformat.html

http://forensicsfromthesausagefactory.blogspot.com.es/2011/05/analysis-of-record-structure-within.html

1.2 Plist:

Es un tipo de fichero de propiedades que contiene información de aplicaciones y del propio sistema.

Dejo otro link para ver la estructura interna del fichero.

https://developer.apple.com/library/mac/documentation/Darwin/Reference/ManPages/man5/plist.5.html

2. Aplicaciones parar abrir los ficheros

El primer tipo de aplicaciones que debemos usar es un editor hexadecimal. Un editor hexadecimal abre absolutamente cualquier fichero y nos lo muestra en “bruto”. De esta manera siempre podemos visualizar el contenido del fichero aunque no aparezca de una forma bonita.

Algunos que he encontrado por la web han sido:

- Es multiplataforma y me ha gustado mucho el diseño que tiene: http://sourceforge.net/projects/wxhexeditor/

- Windows: http://www.hexedit.com/download.htm

- Mac OS: http://ridiculousfish.com/hexfiend/

- GNU/Linux: http://home.gna.org/bless/downloads.html

No está de más que a parte de poder leer los datos en bruto también los leamos con aplicaciones específicas para cada cosa, asi lo siguiente que vamos a necesitar es un lector de sqlite

- El Multiplataforma que más me ha gustado: http://sourceforge.net/projects/sqlitebrowser/

- Windows: http://www.softpedia.es/programa-SQLite-Database-Browser-141732.html

- Linux: http://sqliteadmin.orbmu2k.de/

Como última aplicación, no estaría mal disponer de un lector específico para archivos .plist, ya que apple usa de forma muy habitual estos ficheros para almacenar informacióm

- Windows: http://www.icopybot.com/plist-editor.htm

- Mac OS: http://www.fatcatsoftware.com/plisteditpro/

- GNU/Linux: http://scw.us/iPhone/plutil/

3. Paths importantes

Las Rutas que muestro a continuación han sido sacadas de un Backup de iOS en la versión 6.1. Es posible que si se buscan estas mismas rutas en versiones anteriores o futuras, no coincidan.

3.1 iOS Files

En la Carpeta “iOS Files” está concentrada la mayoría de información a analizar.

3.1.1 Contactos

Los contactos son almacenados en una base de datos úbicada en: /iOS Files/Library/AddressBook/AddressBook.sqlitedb

También podemos encontrar las imágenes pertenecientes a los contactos en: /iOS Files/Library/AddressBook/AddressBookImages.sqlitedb

3.1.2 historial llamadas

El historial de llamadas lo podemos encontrar en: /iOS Files/Library/CallHistory/call_history.db

3.1.3 SMS

Los SMS podemos encontrarlos en: /iOS Files/Library/SMS/sms.db

3.1.4 Notas

Las notas se encuentra ubicadas en: /iOS Files/Library/Notes/notes.db

3.1.5 Fotos

Las fotos son almacenadas en 2 carpetas. La ubicación donde se almacenan cuando se hacen es: /iOS Files/Media/DCIM/100APPLE

Si se tiene habilitada la opción de subir a icloud estarán aquí: /iOS Files/Media/PhotoStreamsData/ …

En el Fichero Photos.sqlite (/iOS Files/Media/PhotoData/Photos.sqlite) podemos encontrar información sobre todas las fotos en el teléfono.

3.1.6 Wifis

Poedmos ver los Wifis que tiene guardados el teléfono mediante la ruta: /iOSFiles/SystemConfiguration/com.apple.wifi.plist.

Una vez ubicados las principales bases de datos relativas al funcionamiento del teléfono pongo la ruta donde se encuentran aplicaciones que casi todo el mundo usa.

3.2 Whatsapp

La carpeta donde se encuentra la información de Whatsapp es: /net.whatsapp.WhatsApp/

Más concretamente, el fichero donde encontraremos las conversaciones es el siguiente: /net.whatsapp.WhatsApp/Documents/ChatStorage.sqlite

También podemos ver los contactos que tiene en la agenda de Whatsapp en: /net.whatsapp.WhatsApp/Documents/Contacts.sqlite

Es posible también ver las fotos recibidas y descargadas en el iPhone a través de la aplicación Whatsapp en: /net.whatsapp.WhatsApp/Library/Media

3.3 Line

La carpeta donde se encuentra la información de Line es: /jp.naver.line/

En concreto, las conversaciones quedan guardadas en: /jp.naver.line/Documents/talk.sqlite

Y bueno, hasta aquí ha llegado la segunda parte del análisis forense del Backup de un iPhone. Espero que os haya gustado

Un saludo y felices vacaciones!

Carlos Rebollo – @Charliesec
carlos@highsec.es