Capítulo 12

Forense móvil Santoku

12.1 Que es Santoku
Santoku Community Edition es un proyecto de colaboración para ofrecer un entorno
preconfigurado Linux con utilidades orientada al Análisis Forense Móvil.
Este programa es de gran ayuda si estamos interesados en la investigación de la
seguridad móvil, pruebas o ciencia forense. Se necesita una gran cantidad de
herramientas las cuales están en Santoku. El objetivo es acelerar el proceso cuando
hagamos este tipo de trabajo.
La palabra santoku se traduce libremente como:"tres virtudes" o "tres usos”.
Santoku Linux fue creado para el apoyo de las siguientes iniciativas:
Herramientas para analizar datos:
 Herramientas Firmware flashing para múltiples fabricantes
 Herramientas para NAND, media cards y RAM
 Versiones libres de algunas Herrmientas Forenses Comerciales
Herramientas para el analisis de codigo malicioso:
 Mobile device emulators
 Utilities to simulate network services for dynamic analysis
 Decompilation and disassembly tools
 Access to malware databases
Evaluacion de Aplicaciones Moviles
 Herramientas de descompilación y desmontaje
 Scripts para detectar problemas comunes en Aplicaciones Moviles
 Scripts para desemcriptar archivos binarios , distribucion de apps y descripcion
de datos de Apps
12.2 Herramientas
En esta sección se presenta la lista de herramientas de Santoku-Linux, organizadas por
categorías, tal y como aparecen en la web oficial, sin embargo sólo se hará el detalle
de las herramientas más interesantes relacionadas a móviles.
12.2.1 Herramientas de desarrollo:
 Android SDK Manager
 AXMLPrinter2
 Fastboot
 Heimdall
 Heimdall (GUI)
 SBF Flash
 Testing de penetración:
 Burp Suite
 Ettercap
 Mercury
 nmap
 OWASP ZAP
 SSL Strip
 w3af (Console)
 w3af (GUI)
 Zenmap (As Root)
12.2.2 Analizadores de redes inalámbricas:
 Chaosreader
 dnschef
 DSniff
 TCPDUMP
 Wireshark
  Wireshark (As Root)
 Forénsica de dispositivos móviles
 AFLogical Open Source Edition
 Android Brute Force Encryption
 ExifTool
 iPhone Backup Analyzer (GUI)
 libimobiledevice
 scalpel
 Sleuth Kit
12.2.3 Ingeniería inversa
 Androguard
 Antilvl
 APK Tool
 Baksmali
 Dex2Jar
 Jasmin
 JD-GUI
 Mercury
 Radare2
 Smali
12.3 Requerimientos
 Santoku – Alpha 0.1 (or later)
 Virtual Box ó VMWare Player - Maquina Virtual con las siguientes especificaciones:
 Procesador dual-core o más
 Memoria real de 2GB o más
 Disco duro de 40GB (libres) o más
12.4 Instalación
 Máquina Virtual
 Descargar e instalar el VistualBox de la siguiente URL:
https://www.virtualbox.org/wiki/Downloads

 Santoku
 Descargar Santoku de la siguiente URL:
https://santoku-linux.com/download
Ahora vamos al icono de VirtualBox presionamos doble clic:
Presionar el Botón New (Nuevo)

Ilustración 12.1
El paso por el Asistente, cree un nombre para la máquina virtual y seleccione el
sistema operativo

Ilustración 12.2
La ventana siguiente le daremos el espacio que queramos que tenga en el disco duro
nuestra máquina virtual. Presionar el Botón Next

Ilustración 12.3

Crear una nueva máquina virtual, Presionar el Botón Create

Ilustración 12.4
La ventana siguiente le daremos el espacio que queramos que tenga en el disco duro
nuestra máquina virtual. Presionar el Botón Next

Ilustración 12.5
Debemos separar aproximadamente 20 gb, Presionar el Botón Next

Ilustración 12.6
Tamaño fijo , Presionar el Botón Create

Ilustración 12.7

Tamaño fijo, Presionar el Botón Forense

Ilustración 12.8
Ubicamos la unidad

Ilustración 12.9

ndicamos la Imagen, Presionar el Botón Start

Ilustración 12.10
Espera hasta que se inicie

Ilustración 12.11
Seleccione Live – Boot the Live System

Ilustración 12.12
Seleccionamos el idioma y presionar continuar

Ilustración 12.13

Presionar continuar

Ilustración 12.14
Presionar Instalar Ahora

Ilustración 12.15

Verifique la Configuración y presione el botón Continuar

Ilustración 12.16
Ingrese sus credenciales a utilizar y presione el botón continuar

Ilustración 12.18

Procediendo a Instalar

Ilustración 12.18

Presione el Boton Reiniciar Ahora

Ilustración 12.19
Iniciando Lubuntu

Ilustración 12.20
Ingresando sus Credenciales

Ilustración 12.21
Es importante tener en cuenta cómo un dispositivo Android en realidad se conecta a una
máquina virtual. Los Dispositivos Android, hasta la fecha, tiene una interfaz USB físico
que les permita
conectar, compartir datos y recursos, y por lo general para recargar desde un ordenador
o
estación de trabajo. Si sólo está ejecutando un solo sistema operativo, el dispositivo
USB, deberá tener detectado y accesible. Sin embargo, la configuración adicional o
controladores podrían estar
requerida. Si está ejecutando una máquina virtual sin embargo, usted simplemente
desea que el sistema operativo anfitrión a pasar la conexión a través de la máquina
virtual. Por ejemplo, si es tu sistema operativo anfitrión OS X y está ejecutando VMware
Fusion, se seleccionan los menús de Virtual Machine / USB y luego conectar el dispositivo
(High teléfono Android en este caso), como se muestra en La figura. 3.25. Del mismo
modo, cuando el sistema operativo anfitrión es Linux, y está ejecutando la máquina
virtual mediante VirtualBox Oracle, primero debe asegurarse de que usted es un
miembro de las usbusers grupo. Por lo tanto, desde una sesión de terminal, ejecute lo
siguiente:

Ilustración 12.22
Instalar

Ilustración 12.23

Ilustración 12.24
Ilustración 12.25

Ahora procedemos a instalar con el siguiente comando

Ilustración 12.26
Esperamos que concluya

Ilustración 12.27

Usando el Comando VBoxManage list

El comando list proporciona información relevante acerca de su sistema para este caso suministra
información sobre los dispositivos USB conectados al host, en particular información útil para la
construcción de filtros USB y si están actualmente en uso por el anfitrión.

sudo VBoxManage list usbhost

Ilustración 12.28
AFLogical OSE

Ilustración 12.29

Activar USB debugging en tu dispositivo. Para Android 3.x y inferior, ir a Settings –>
Applications –> Development, activar ‘USB debugging’.
en Android 4.x y supewrior ir a Settings –> Developer Options, activar check ‘USB debugging’.

Ilustración 12.30
Observamos en el Dispositivo Movil

Ilustración 12.31

Extrayendo Información del Dispositivo

12.5 Aplicación
Pablo Gerente de Logistica de La Minera XYZ perteneciente a la mediana minería y Alex
proveedor de insumos químicos de la Minera posee una relación de amistad, debido a la
disminución de Precios de los Metales la compañía necesita ser más competitiva para ellos es
necesario poseer ventaja comparativa y competitiva en la búsqueda de la misma la Gerencia
General requiere disminuir sus costos.
Debido a rumores sobre la amistad del proveedor con el Gerente de Logística y preferencias, llego
a oídos del Gerente General que esta amistad va más allá y que El proveedor de insumos y el
Gerente de logística realizan algunos viajes al exterior de placer
Dado los hechos ocurridos y una denuncia anónima sobre la preferentica del gerente de logística,
la gerencia general a través del equipo de Mobile Forensics realizara una auditoria, el gerente de
logística declara que no posee ninguna amistad con el proveedor. Se le solicita a dicho gerente
que entregue el Smartphone designado por la cia.
El Smartphone posee las siguientes características:

Ilustración 12.32

El dispositivo móvil es llevado al laboratorio de Mobile Forensics en una bolsa de

Faraday para evitar que reciba cualquier tipo de llamada.
Herramientas- AFLogical OSE
 Debido a las prestaciones que tiene para hacer de manera sencilla una evaluación
forense básica de dispositivos móviles con SO Android.
 Y la segunda ExifTool, que nos permitirá averiguar la ubicación en la que se han
tomado ciertas fotos.
Proceso:
Extracción de información del Smartphone mensajes o logs de llamada,
procederemos a utilizar la herramienta AF Logical OSE. Para utilizar esta
herramienta se debe de contar con el Depuramiento USB activado en el teléfono
a analizar.
Ilustración 12.33
Al ejecutar la herramienta se muestra la ventana de comandos con el aviso de
contar la depuración USB activada.
Escribimos el comando aflogical-ose y presionamos enter.

Ilustración 12.34
Se nos pedirá el password el cual debemos de ingresar y presionar Enter. Una
vez hecho esto la aplicación de AF Logical OSE será enviada al teléfono en
investigación.

Ilustración 12.35
 La herramienta seguirá trabajando hasta que nos pide presionar Enter para
extraer los datos recuperados desde la aplicación en el teléfono.

Ilustración 12.36
Se mostrará la lista de archivos recuperados.

Ilustración 12.37
Una vez concluida la extracción de información del teléfono procederemos a
analizar las fotos que se encontraban en el dispositivo utilizando la herramienta
EXIF Tool.

Ilustración 12.38

Se abrirá la ventana de comandos en donde debemos de escribir exiftool

[nombre del archivo].

Ilustración 12.39
 Una vez hecho esto obtendremos toda la información de la fotografía.

Ilustración 12.40

Resultados:
La información extraída nos ha sido de utilidad para poder determinar que existe una
relación entre el Gerente de Logística y el Proveedor comprobado a través del análisis de
los mensajes de texto en el cual se habla de posibles viajes financiados por el proveedor.
Se comprobó luego de analizar las etiquetas GPS de las fotografías que fueron encontradas
en el dispositivo del Gerente de Logística con lo cual se puede asegurar de que si existía
una relación con el Proveedor.
Los resultados fueron presentados a la gerencia General la cual tomará la decisión de tomar
acciones legales contra el Gerente de Logística.