Mobile Forensics
Análise Forense Rápida (Português)
Análise Forense Rápida (Português)
  • Introdução
  • Preparações
    • Conhecimento
    • Segurança
    • Confiança
    • Backup
  • Metodologia
  • Verificação de computadores Windows
    • Revisão de programas abertos na inicialização
    • Revisar processos em execução
    • Revisar conexões de rede
    • Extrair dados para análise adicional
  • Verificação de computadores Mac
    • Revisar programas abertos na inicialização
    • Revisar processos em execução
    • Revisar extensões do kernel
    • Revisar conexões de rede
    • Revisar logs do XProtect
    • Extrair dados para análise adicional
  • Verificação de smartphones
    • Arquitetura do sistema do smartphone
    • Verificar dispositivos vinculados a aplicativos de bate-papo
    • Verificar mensagens suspeitas
    • Monitorar o tráfego de rede
    • Nota: Monitoramento do tráfego de rede no Linux
  • Verificação básica de dispositivos Android
    • Revisar aplicativos instalados
    • Verificar armazenamento
    • Verificar se o telefone utiliza o app Android Device Policy (Política de Dispositivo Android)
    • Verificar se foi feito root no telefone
    • Verificar se as opções do desenvolvedor estão ativadas
    • Analisar aplicativos
    • Extrair dados para análise adicional
    • Opcional: verificar se há indicadores de instalação de stalkerware
  • Verificação avançada de dispositivos Android
    • Wireshark
    • MVT
    • Outras ferramentas
  • Verificação de dispositivos iOS
    • Revisar contas do iCloud
    • Revisar aplicativos instalados
    • Verificar perfis de gerenciamento de dispositivos móveis
    • Verificar atalhos
    • Verificar Jailbreaks
    • Ativar e verificar o relatório de privacidade do aplicativo
    • Extrair dados para análise adicional
    • Analisando dados extraídos
    • Sobre o modo de Isolamento
  • Verificação de dispositivos remotamente
    • Computadores Mac
    • Android
  • Concluindo uma coleta de evidências forenses
  • Referências e aprendizado adicional
  • Licença e créditos
Powered by GitBook
On this page
  1. Preparações

Segurança

A segurança da proprietária do dispositivo é fundamental.

Antes mesmo de iniciar o engajamento, é importante considerarmos as possíveis consequências negativas para a segurança da proprietária do dispositivo. Em primeiro lugar, precisamos avaliar adequadamente o risco ao qual ela está exposta no momento. Em segundo lugar, precisamos determinar se a assistência que vamos prestar pode causar mais exposição. Apesar das melhores intenções e do provável desejo da proprietária de se tranquilizar e se sentir confortável ao usar seus dispositivos sem spyware, as atividades que estamos prestes a realizar podem, por exemplo, causar retaliação ou acelerar uma resposta por parte do invasor. Precisamos estar preparados para essa eventualidade: em alguns casos, pode ser ainda mais prudente não continuar com o compromisso se for muito arriscado.

Para ajudar você a estimar o nível de risco enfrentado pela proprietária do dispositivo e a preparar um plano de ação adequado, seguem algumas perguntas importantes que você deve tentar responder com antecedência:

  1. É seguro para a proprietária trazer o dispositivo até você? Se o dispositivo for monitorado, qualquer rastreamento de localização colocaria a proprietária ainda mais em risco?

  2. Se você encontrar uma infecção, quase sempre não permitirá que a proprietária continue usando o dispositivo. Você tem um plano de substituição? Os invasores podem perceber que a vítima desapareceu repentinamente.

  3. Se o dispositivo for substituído, o fato de o atacante perder o acesso à vítima causaria mais retaliações?

  4. A proprietária está correndo perigo imediato? Se determinarmos erroneamente que o dispositivo está limpo, como isso poderia afetar negativamente a proprietária?

Esperamos que a resposta a essas perguntas te ajude a decidir como proceder com a análise forense rápida dos dispositivos.

O dispositivo deve se conectar online?

Se decidir prosseguir com a inspeção, é provável que também queira planejar que o dispositivo seja completamente desconectado de qualquer conexão WiFi ou de Internet móvel.

No caso de um laptop, o ideal é pedir à proprietária para desativar o WiFi antes de desligá-lo e trazer o dispositivo até você. De qualquer forma, certifique-se de que nenhuma conexão esteja disponível antes de começar. No caso de um telefone celular, talvez seja melhor pedir à proprietária que desligue o dispositivo e remova o cartão SIM antes de levá-lo até você.

Mantenha suas ferramentas em uma unidade USB externa. Limite a transferência de arquivos e limpe as sobras quando terminar.

Lembre-se de que, mesmo com todas essas precauções, se a triagem for erroneamente concluída sem que nada seja encontrado e a proprietária voltar a usá-lo, é bem provável que o invasor perceba. Um vírus cavalo de Troia pode fazer capturas de tela da área de trabalho enquanto você estiver operando ou até mesmo gravar o áudio do microfone. Caso algo seja encontrado, você não deve permitir que ele envie esses dados para o invasor.

PreviousConhecimentoNextConfiança

Last updated 4 months ago