Cell Phone Forensic Tools

WEB ESPECIALIZADA EN SEGURIDAD DE REDES - SOFTWARE FORENSE Y CONTROL A DISTANCIAPROGRAMACIÓN EN LENGUAJES DE ALTO NIVEL - SOFTWARE POLICIAL Y BIOMETRICS

SISTEMAS I/O AVANZADOS DE ALTO NIVEL

[email protected]

Traducido por Sykrayo España

https://sites.google.com/site/sykrayo/

NISTIR 7387

Teléfono celular forenseHerramientas:Una visión general de Análisis y Actualización

AlmiarAyers Wayne JansenLudovic Moenner Aurelien Delaitre


iii

NISTIR 7387 Teléfono celular forenses Herramientas:Una visión general de Análisis y Actualización

Rick Ayers WayneJansen AurelienDelaitre LudovicMoenner

COMPUTERSECURITY

División de Seguridad InformáticaLaboratorio de Tecnologías de la InformaciónInstituto Nacional de Estándares y TecnologíaGaithersburg, MD 20899-8930

Marzo 2007

Departamento de Comercio de EE.UU.

Carlos M. Gutiérrez, Secretario

Administración de Tecnología

Robert Cresanti, subsecretario interino deComercio de Tecnología

Instituto Nacional de Estándares y Tecnología

William A. Jeffrey, Director


3

Informes sobre Computer Systems Technology

El Laboratorio de Tecnologías de la Información (DIT) del Instituto Nacional de Estándares y Tecnología (NIST) promueve laeconomía de EE.UU. y el bienestar público, proporcionando liderazgo técnico para la medición de la Nación y la infraestructurade las normas. ITL desarrolla pruebas, métodos de prueba, datos de referencia, la prueba de las implementaciones de concepto, yel análisis técnico para avanzar en el desarrollo y uso productivo de las tecnologías de la información. Responsabilidades de ITLincluyen el desarrollo de normas técnicas, físicas, administrativas y de gestión y las directrices para la seguridad económica y laprivacidad de la información sensible no clasificada en los sistemas informáticos federales. Este Informe Interagencial discute lainvestigación de ITL, orientación y actividades de divulgación en materia de seguridad informática, y sus actividades decolaboración con la industria, el gobierno y organizaciones académicas.

Instituto Nacional de Estándares y Tecnología Informe Interagencial164 páginas (2007)

Ciertas entidades comerciales, equipos o materiales pueden ser identificadas en este documento con elfin de describir un procedimiento experimental o concepto adecuado. Esta identificación no pretende dara entender ninguna recomendación por parte del Instituto Nacional de Estándares y Tecnología, ni tiene

por objeto dar a entender que las entidades, materiales o equipos son necesariamente los mejoresdisponibles para ese fin.


4

Abstracto

Los teléfonos celulares y otros dispositivos portátiles con capacidades de teléfono celular (por ejemplo, AsistenteDigital Personal [PDA] celulares) son omnipresentes. En lugar de hacer llamadas, la mayoría de los móvilespermiten a los usuarios realizar tareas adicionales, como el servicio de mensajes cortos (SMS), mensajería, serviciode mensajería multimedia (MMS), mensajería instantánea (IM), correo electrónico, navegación por Internet y lainformación personal básica (PIM), aplicaciones de gestión (por ejemplo, el teléfono y el libro de la fecha). PDA,conocidos como teléfonos inteligentes, a menudo proporcionan a los usuarios con las capacidades combinadas de unteléfono móvil y un PDA. Además de los servicios de red y aplicaciones básicas de PIM, se puede administrar demanera más extensa cita e información de contacto, revisar los documentos electrónicos, hacer una presentación, yrealizar otras tareas.

Todos, excepto los teléfonos más básicos ofrecen a las personas con alguna posibilidad de cargar aplicacionesadicionales, almacenar y procesar información personal y confidencial de forma independiente de un ordenador desobremesa o portátil, y opcionalmente sincronizar los resultados en algún momento posterior. A medida queevoluciona la tecnología digital, las capacidades existentes de estos dispositivos continúan mejorando rápidamente.Cuando los teléfonos móviles u otros dispositivos celulares están implicados en un delito u otro incidente, losexaminadores forenses requieren herramientas que permitan la recuperación adecuada y un examen rápido de lainformación presente en el dispositivo. Este informe ofrece una visión general de las actuales herramientas diseñadaspara la adquisición, análisis y presentación de los datos descubiertos en dispositivos de mano móviles, y lacomprensión de sus capacidades y limitaciones. Es una continuación de la deNISTIR 7250 teléfono celular forensesHerramientas: Un Descripción y Análisis

•, que se centra en herramientas que han sido sometidos a cambios significativos desde

que la publicación o no estaban cubiertos anteriormente.

•NISTIR 7250 - teléfono celular forenses Herramientas: Una visión general y análisis se puede acceder a través de:http://csrc.nist.gov/publications/nistir/nistir-7250.pdf


http://csrc.nist.gov/publications/nistir/nistir-

5

Objeto y ámbito deaplicación

El propósito de este informe es dar a conocer la aplicación de la ley, los miembros del equipo de respuesta aincidentes, y los examinadores forenses sobre las capacidades de nuestros días las herramientas de software forenseque han sufrido cambios significativos o que no fueron mencionados en el informe anteriorTeléfono celular forenseHerramientas: una visión general y análisis. Estas herramientas tienen la capacidad de adquirir información de losteléfonos celulares que operan sobre Code Division Multiple Access (CDMA), acceso múltiple por división detiempo (TDMA), sistema global para comunicaciones móviles (GSM) de redes celulares y en funcionamiento variossistemas operativos, incluyendo Symbian, Investigación en Motion (RIM), Palm OS, Pocket PC y Linux.

Una descripción de cada herramienta se describen el alcance y los servicios prestados para la adquisición y elanálisis de la evidencia contenida en los teléfonos celulares y los teléfonos PDA funcional. Escenarios genéricoshan sido concebidos para reflejar las situaciones que se presentan durante un examen forense de estos dispositivos ysus medios asociados. Los escenarios están estructurados para revelar cómo las herramientas seleccionadasreaccionan en diversas situaciones. Aunque escenarios genéricos se utilizaron en el análisis de herramientasforenses, los procedimientos no están destinados a servir como una prueba formal del producto o como unaevaluación completa. Además, no se garantiza en las ventajas comparativas de una herramienta frente a otra. Encambio, el informe ofrece una perspectiva amplia y en la exploración sobre el estado del arte de las herramientas desoftware forense de hoy en día para los teléfonos móviles y los teléfonos PDA. Alternativas al uso de unaherramienta de software para la recuperación de la evidencia forense digital, como desoldar y extraer la memoria deun dispositivo para leer su contenido o el uso de una interfaz de prueba de hardware incorporado para acceder a lamemoria directamente, están fuera del alcance de este informe.

Es importante distinguir este esfuerzo de la Informática Forense Testing Tool (CFTT) del proyecto, cuyo objetivo esofrecer garantías medibles a los profesionales, investigadores y otros usuarios que las herramientas utilizadas eninvestigaciones forenses informáticos proporcionan resultados precisos. Lograr este objetivo requiere el desarrollo derigurosas especificaciones y métodos de ensayo para herramientas forenses y el análisis posterior de las herramientasespecíficas contra esas especificaciones, que va mucho más allá del análisis descrito en este documento. El CFTT esel esfuerzo conjunto del Instituto Nacional de Justicia, el Instituto Nacional de Estándares y Tecnología (NIST), laOficina de Normas de Aplicación de la Ley (OLES), el Departamento de Defensa de EE.UU., la Oficina Federal deInvestigaciones (FBI), EE.UU. Secret Servicio de Inmigración y Aduanas de EE.UU. (ICE), y otros organismosrelacionados. •

La publicación no debe usarse como una guía paso a paso para la ejecución de una investigación forense adecuadoque incluya teléfonos celulares y teléfonos PDA, o interpretarse como asesoramiento legal. Su propósito es informara los lectores de las diferentes tecnologías disponibles y las áreas que deben considerarse al emplearlos. Antes deaplicar el material de este informe, se aconseja a los lectores consultar con los funcionarios de gestión y jurídica parael cumplimiento de las leyes y reglamentos (por ejemplo, locales, estatales, federales e internacionales) que tenganrelación con su situación.

•Para obtener más información sobre esta iniciativa véase www.cftt.nist.gov


6

Público

Los destinatarios principales del teléfono celular documento herramienta forense es la aplicación de la ley, losmiembros del equipo de respuesta a incidentes, y médicos forenses que se encargan de la realización de losprocedimientos forenses relacionados con los dispositivos de telefonía celular y medios extraíbles asociados.


www.cftt.nist.gov

vii

Tabla de contenidos

1

ANTECEDENTES 3

SUSCRIPTOR IDENTIDAD MÓDULO.................................................. ................................................ 5DESMONTABLE MEDIA 6

FORENSE 8

DISPOSITIVO DECOMISO 1111GSM 12OXÍGENO TELÉFONO MANAGER12MOBILedit!131313SecureView 14PHONEBASE2 14CellDEK 14SIMIS2 1414FORENSE TARJETA 15SIMCon 15USIMDETECTIVE 15

ANÁLISIS 16

OBJETIVO DISPOSITIVOS16ESCENARIOS 23

SINOPSIS DE EMBARGO DISPOSITIVO .............................................. ........................................... 28

POCKET Teléfonos para PC 28PALMA OSTELÉFONOS29BLACKBERRY DISPOSITIVOS 30CELL TELÉFONOS 32ADQUISICIÓN ETAPA32BUSCAR FUNCIONALIDAD35GRÁFICOS BIBLIOTECA 36MARCADORES36ADICIONAL 37INFORME GENERACIÓN 39ESCENARIO RESULTADOS - PDAS 39ESCENARIO RESULTADOS - CELL TELÉFONOS ................................................. ......................................... 40ESCENARIO RESULTADOS - TARJETA SIM ADQUISICIÓN.................................................. ....................... 41

SINOPSIS DEL PILOTO-LINK ............................................. .................................................. .... 42

SINOPSIS DE GSM 43


8

APOYO TELÉFONOS 43ADQUISICIÓN ETAPA43BUSCAR FUNCIONALIDAD46GRÁFICOS BIBLIOTECA 46INFORME GENERACIÓN 47ESCENARIO RESULTADOS - CELL TELÉFONOS ................................................. ......................................... 50ESCENARIO RESULTADOS - TARJETA SIM ADQUISICIÓN.................................................. ....................... 51

SINOPSIS DE Oxygen Phone Manager ............................................. ....................... 52

SINOPSIS DE 53

TARJETA SIM ADQUISICIÓN 54

SINOPSIS DE 54

SINOPSIS DE 55

TARJETA SIM ADQUISICIÓN 57

SINOPSIS DE SecureView ............................................... ................................................. 58


SINOPSIS DE 65


SINOPSIS DE CellDEK 73


SINOPSIS DE SIMIS2 81

SINOPSIS DE FORENSICSIM ............................................... ................................................ 83

SINOPSIS DEL LECTOR DE TARJETAS FORENSE ............................................. ........................... 84


9

SINOPSIS DE SIMCon 85

SINOPSIS DE USIMDETECTIVE ............................................... .......................................... 86

ADQUISICIÓN ETAPA86BUSCAR FUNCIONALIDAD87GRÁFICOS BIBLIOTECA 87INFORME GENERACIÓN 87ESCENARIO RESULTADOS90

CONCLUSIONES 92

GLOSARIO DE SIGLAS ............................................... .................................................. 93

ANEXO A: RESULTADOS DEL DISPOSITIVO INCAUTACION - Smart Devices ................................. 96

BLACKBERRY 7750 96BLACKBERRY 7780 97KYOCERA 7135 99MOTOROLA MPX220 100SAMSUNG 101PALMONE TREO 600 102

ANEXO B: RESULTADOS DEL DISPOSITIVO INCAUTACION - Celulares .................................... 105

AUDIOVOX 8910 105ERICSSON T68I 106LG 4015 107MOTOROLA C333 108MOTOROLA V66 109MOTOROLA V300 110NOKIA 3390 111NOKIA 6610i112SANYO PM-8200 113

ANEXO C:. GSM RESULTADOS XRY ........................................... ........................................ 115

ERICSSON T68I 115MOTOROLA C333 116MOTOROLA V66 117MOTOROLA V300 118NOKIA 6610i119NOKIA 6200 120NOKIA 7610 121

APÉNDICE D: RESULTADOS SecureView ............................................. .............................. 123

AUDIOVOX 8910 123ERICSSON T68I 123LG4015 124MOTOROLA C333 125MOTOROLA V66 126MOTOROLA V300 127


10

NOKIA 6200 128SANYO PM-8200 129

ANEXO E: PHONEBASE2 RESULTADOS ............................................. ............................... 131

ERICSSON T68I 131MOTOROLA V66 132MOTOROLA V300 133NOKIA 6610i134

APÉNDICE F: RESULTADOS CellDEK ............................................. ...................................... 136

ERICSSON T68I 136MOTOROLA MPX220 137MOTOROLA 138MOTOROLA 139NOKIA 6200 140NOKIA 6610i141

APÉNDICE G: SIM EMBARGO - EXTERNAS RESULTADOS SIM ......................................... 143

SIM 143SIM 143SIM 144

ANEXO H:. GSM XRY - EXTERNAS RESULTADOS SIM ........................................ ........ 145


ANEXO I: SecureView - EXTERNAS RESULTADOS SIM .......................................... 147


APÉNDICE J: PHONEBASE2 - EXTERNAS RESULTADOS SIM .......................................... 149


ANEXO K: CellDEK - EXTERNAS RESULTADOS SIM .......................................... ...... 151


APÉNDICE L: USIMDETECTIVE - EXTERNAS RESULTADOS SIM .................................. 153



11

Agradecimientos

Los autores, Rick Ayers, Wayne Jansen, Aurelien Delaitre y Ludovic Moenner desean expresar suagradecimiento a los colegas que revisaron los borradores de este documento. En particular, su agradecimiento aKaren Scarfone, Murugiah Souppaya y Tim Grance de NIST, Rick Mislan de la Universidad de Purdue, y LeeReiber de Forensics móviles para su investigación, la asistencia técnica y las contribuciones escritas a estedocumento. Los autores también quisiera dar las gracias a todos los que ayudaron en el proceso de revisióninterna.

Este informe fue patrocinado en parte por el Dr. Bert Coursey del Departamento de Seguridad Nacional(DHS). El apoyo del Departamento y orientación en este esfuerzo son muy apreciadas.


1

IntroducciónInformática forense consiste en la identificación, conservación, extracción, documentación y análisis de datosinformáticos. Informática forense examinadores siguen metodologías claras y bien definidas y los procedimientosque se pueden adaptar a situaciones específicas. Estas metodologías consisten en los siguientes pasos:

• Prepare una copia forense (es decir, una copia física de bit por bit idéntico) de lodigital adquiridalos medios de comunicación, mientras que la preservación de la integridad de losmedios adquiridos.

• Examine el forensecopiar para recuperar la información.

• Analizar la información recuperada y desarrollar un informe que documentatoda la información pertinente al descubierto.

Herramientas forenses tienen por objeto facilitar el trabajo de los examinadores, que les permite realizar los pasosanteriores en una manera oportuna y estructurada, y mejorar la calidad de los resultados. Este artículo trata de lasherramientas de software forenses disponibles para los dispositivos móviles de mano, destacando las facilidades queofrecen y las capacidades asociadas.

Herramientas de software forense se esfuerzan para hacer frente a una amplia gama de dispositivos aplicables ymanejar las situaciones de investigación más comunes con los requisitos de nivel de habilidades modestas. Estasherramientas suelen realizar adquisiciones lógicas utilizando protocolos comunes para la sincronización, ladepuración y las comunicaciones. Situaciones más complicadas, tales como la recuperación de datos borrados, amenudo requieren herramientas y conocimientos basados en hardware altamente especializados, que no está dentrodel alcance de este informe.

Análisis forense de dispositivos portátiles es bastante nueva y emergente área temática en el campo forense, quetradicionalmente enfatizó estaciones de trabajo individuales y servidores de red. Existen discrepancias entreforense de dispositivos portátiles y la informática forense clásica debido a varios factores, incluyendo lossiguientes, que limitan la forma en que operan las herramientas:

• La orientación hacia la movilidad (por ejemplo, el tamaño compacto ybaterías,que requieren interfaces especializadas, medios de comunicación y hardware)

• El sistema de ficheros reside en la memoria volátil frente a la memoria no volátil en ciertossistemas

• Comportamiento de hibernación, los procesos de suspensión cuando estáapagado o inactivo, pero que siguen siendo activas

• La amplia variedad de sistemas operativos integrados utilizados• ciclos de producción cortos para la introducción de nuevos dispositivos de mano

La mayoría de los teléfonos celulares ofrecen conjuntos comparables de capacidades básicas. Sin embargo, lasdiversas familias de dispositivos en el mercado difieren en áreas tales como la tecnología de hardware, conjunto defunciones avanzadas, y en formato físico. En este trabajo se estudian las herramientas de software forense para unaserie de plataformas populares, incluyendo Symbian, Research In Motion (RIM), Pocket PC y dispositivos Palm OS.En conjunto, estas plataformas constituyen la mayoría de los llamados dispositivos de teléfonos inteligentesactualmente disponibles y en uso. Los teléfonos más básicos, producidos por varios fabricantes y operativos envarios tipos de redes de telefonía móvil también se abordan en el documento.


2

El resto de secciones proporcionan una visión general de los teléfonos móviles, tarjetas de memoria y juegos deherramientas forenses, describir los escenarios utilizados para analizar las diferentes herramientas y juegos deherramientas; presentar los resultados de la aplicación de los escenarios, y un resumen de las conclusiones extraídas.Se supone que el lector tenga algo de experiencia en informática forense y la tecnología. El lector también debe serinformada de que las herramientas presentadas en el informe están evolucionando rápidamente, con nuevasversiones y mejores capacidades disponibles regularmente. El fabricante de la herramienta debe estar siempre encontacto con para una información al día.


3

FondoLos teléfonos celulares son dispositivos de comunicaciones altamente móviles que pueden hacer una gran variedadde funciones que van desde la de un organizador digital simple a la de un PC de gama baja. Diseñado para lamovilidad, son de tamaño compacto, alimentado por batería, y ligero, a menudo utilizan interfaces propietarias osistemas operativos, y puede tener características únicas de hardware para la diferenciación de productos. Engeneral, se pueden clasificar como teléfonos básicos que son fundamentalmente simples dispositivos decomunicación de voz y de mensajería, teléfonos avanzados que ofrecen capacidades y servicios adicionales paramultimedia, y los teléfonos inteligentes o los teléfonos de gama alta que se fusionan las capacidades de un teléfonoavanzado con los de un Asistente Digital Personal (PDA).

La figura 1 presenta un resumen de las características de hardware de los teléfonos móviles básicos, avanzados y dealta gama de calidad de visualización, procesamiento y capacidad de almacenamiento, la memoria y la expansión deE / S, una función de comunicación y de vídeo y captura de imágenes. La parte inferior del diagrama muestra elrango de los avances de las redes analógicas kilobits celulares de voz y datos, todavía en uso hoy en día, a las redesdigitales de tercera generación megabits en la planificación y etapas de implementación temprana. El diagramaintenta ilustrar que los teléfonos más capaces pueden capturar y retener no sólo más información, sino también lainformación más variada, a través de una amplia variedad de fuentes, incluyendo los módulos extraíbles dememoria, otras interfaces inalámbricas y hardware incorporado. Tenga en cuenta que los componentes de hardwarepueden y deben variar de las asignaciones hechas en el diagrama y, con el tiempo, la tecnología, una vezconsiderados de gama alta o avanzado aparece finalmente en lo que luego sería considerado un teléfono básico.

Figura 1: Número de teléfono Componentes hardware

Al igual que con los componentes de hardware, componentes de software que participan en comunicaciones varíacon la clase de teléfono. Teléfonos básicos normalmente incluyen mensajes de texto utilizando el servicio demensajes cortos (SMS). Un teléfono avanzado podría agregar la posibilidad de enviar mensajes con imágenessimples o


4

mensajes de texto largos utilizando el servicio de mensajes Extended (EMS), mientras que un teléfono de gama altanormalmente soporta el servicio de mensajes multimedia (MMS) a los sonidos de cambio de color, imágenes ytexto. Del mismo modo, la posibilidad de chatear en línea directamente con otro usuario puede ser no compatible,con el apoyo a través de un canal de SMS dedicado, o apoyado con un cliente de mensajería instantánea completa(IM). Los teléfonos de gama alta normalmente apoyan la plena función de correo electrónico y clientes Web queutilizan, respectivamente, Post Office Protocol (POP) / Internet Message Access Protocol (IMAP) / Protocolosimple de transferencia de correo (SMTP) y HTTP, mientras que los teléfonos avanzados proporcionan estosservicios a través del protocolo de aplicación inalámbrica (WAP) y los teléfonos básicos no incluyen ningún tipo deapoyo. La figura 2 ofrece una visión general de las capacidades por lo general asociados con cada tipo de teléfono.

Figura 2: Componentes de software del teléfono

Teléfonos avanzados más básicas y muchos dependen de los sistemas operativos en tiempo real propietariodesarrollado por el fabricante. Sistemas operativos comercialmente integradas para dispositivos móviles estántambién disponibles que van desde un programador preventivo básico con soporte para otros sistemas clave par dellamadas a los núcleos más sofisticados con alternativas de programación, soporte de gestión de memoria,controladores de dispositivos y control de excepciones, para terminar incrustado real sistemas operativos de tiempo.La parte inferior de la Figura 2 ilustra este rango.

Muchos teléfonos inteligentes de gama alta tienen una herencia PDA, evolucionando de Palm OS y Pocket PC(también conocido como Windows Mobile) los dispositivos de mano. Como módulos de telefonía inalámbrica eranincorporado en tales dispositivos, las capacidades del sistema operativo se han mejorado para dar cabida a lafuncionalidad. Del mismo modo, el sistema operativo Symbian utilizado en muchos de los teléfonos inteligentestambién se deriva de un patrimonio organizador electrónico. Dispositivos OS RIM, que hacen hincapié en latecnología push para mensajes de correo electrónico, son otra familia de dispositivos que también cae en la categoríade teléfonos inteligentes.


5

Subscriber Identity ModuleOtra manera útil para clasificar los dispositivos celulares es por tanto si se trata de un módulo de identidad delabonado (SIM). Una tarjeta SIM es extraíble diseñada para la inserción en un dispositivo, tal como un teléfono.SIMs se originó con un conjunto de especificaciones originalmente desarrollado por la Conferencia de Correos yTelecomunicaciones (CEPT) de Europa y continuada por el Instituto Europeo de Normas de Telecomunicaciones(ETSI) para el Sistema Global para Comunicaciones Móviles (GSM). Normas GSM exigen el uso de una tarjetaSIM para el funcionamiento del teléfono. Sin ella, un teléfono GSM no puede funcionar. Por el contrario, losteléfonos de Acceso Múltiple por División de código actuales (CDMA) no requieren una tarjeta SIM. En su lugar, lafuncionalidad SIM se incorpora directamente en el dispositivo.

Un SIM es un componente esencial de un teléfono celular GSM que contiene información específica para el usuario.Un SIM es un tipo especial de tarjeta inteligente que contiene típicamente entre 16 a 64 kilobytes (KB) de memoria,un procesador y un sistema operativo. Un SIM identifica de forma exclusiva al abonado, determina el número deteléfono, y contiene los algoritmos necesarios para autenticar un abonado a una red. Un usuario puede retirar latarjeta SIM de un teléfono, la inserta en otro teléfono compatible, y reanudar el uso sin la necesidad de involucrar aloperador de red. Lasistema de archivos organizado jerárquicamente de un SIM se utiliza para almacenar los nombres y números deteléfono, recibido y enviado mensajes de texto, e información de configuración de red. Dependiendo del teléfono,parte de esta información también puede coexistir en la memoria del teléfono o residir en su totalidad en la memoriadel teléfono en lugar de la tarjeta SIM. Mientras SIMs son los más ampliamente utilizados en los sistemas GSM,módulos compatibles también se utilizan en Integrated Digital Enhanced Network (IDEN) Teléfonos y SistemaUniversal de Telecomunicaciones Móviles (UMTS) equipo de usuario (es decir, de un módulo de identificación delabonado universal [SIM]). Debido a la flexibilidad de un SIM ofrece a los usuarios de teléfonos GSM para portar suidentidad y la información entre los dispositivos, con el tiempo se espera que todos los teléfonos móviles para incluircapacidad de SIM.

Aunque dos tamaños de tarjetas SIM se han estandarizado, sólo el tamaño más pequeño se muestra a laizquierda se usa ampliamente hoy en día en los teléfonos GSM. El módulo dispone de un ancho de 25mm, una altura de 15 mm, y un espesor de 0,76 mm, que es aproximadamente del tamaño de un sellopostal. Sus conectores de 8 pines no están alineados a lo largo de un borde inferior como era de esperar,pero en su lugar forman una

circular almohadilla integrada en el chip de la tarjeta inteligente, que se inserta en un marco de plástico contacto.Además, la ranura para la tarjeta SIM no es normalmente accesible desde el exterior del teléfono como con unatarjeta de memoria. Cuando se inserta un SIM en un teléfono y el pasador se hace contacto, una interfaz en serie seutiliza para comunicar con la plataforma de computación usando un protocolo semidúplex. Tarjetas SIM pueden serremovidos de un teléfono y leer usando un lector especializado tarjeta SIM y el software. Un SIM también se puedecolocar en un adaptador de tarjeta inteligente de tamaño estándar y leer mediante un lector de tarjeta inteligenteconvencional.

Al igual que con cualquier tarjeta inteligente, sus contenidos están protegidos y un PIN se pueden configurar pararestringir el acceso. Existen dos PINs, a veces llamado PIN1 y PIN2 o CHV1 y CHV2. Estos pines pueden sermodificados o desactivados por el usuario. El SIM permite que sólo un número predeterminado de intentos,generalmente tres, para introducir el PIN correcto antes de que se bloquean más intentos. Introducir la clave correctaPIN de desbloqueo (PUK) restablece el número PIN y el contador de intentos. El código PUK se puede obtener delproveedor de servicios o el operador de la red sobre la base de la identidad del SIM (es decir, su Identificador deTarjeta de Circuito Integrado [ICCID]). Si el número de intentos para introducir el PUK supera correctamente unlímite establecido, normalmente de diez intentos, la tarjeta se bloquea de forma permanente.


6

Almacenamiento externoLos medios extraíbles se extiende la capacidad de almacenamiento de un teléfono móvil, permitiendo a losindividuos para almacenar información adicional más allá de la capacidad incorporada del dispositivo. Tambiénproporcionan otra vía para el intercambio de información entre los usuarios que tienen hardware compatible. Losmedios extraíbles es el almacenamiento no volátil, capaz de retener datos grabados cuando se extraen de undispositivo. El principal tipo de medios extraíbles para teléfonos móviles es una tarjeta de memoria. Aunque similara SIM de tamaño, que siguen un conjunto diferente de las especificaciones y tienen características muy diferentes.Algunas especificaciones de la tarjeta también permiten capacidades de E / S para apoyar las comunicacionesinalámbricas (por ejemplo, Bluetooth o WiFi) u otro hardware (por ejemplo, una cámara) para ser envasados en elmismo formato.

Una amplia gama de tarjetas de memoria que existe actualmente en el mercado para los teléfonos celulares y otrosdispositivos móviles. Las capacidades de almacenamiento de rango de tarjetas de memoria de megabytes (MB) agigabytes (GB) y vienen en tamaños, literalmente, tan pequeñas como una miniatura. Como los avances tecnológicoscontinúan, se espera que estos medios de comunicación a ser más pequeños y ofrecen una mayor densidad dealmacenamiento. Afortunadamente, estos medios se formatean normalmente con un sistema de ficherosconvencional (por ejemplo, la tabla de asignación de archivos [FAT]) y pueden ser tratados de manera similar a unaunidad de disco, con la imagen y se analizaron usando una herramienta forense convencional conun adaptador compatible multimedia que soporta un entorno de desarrollo integrado (IDE) de la interfaz. Talesadaptadores se pueden usar con un bloqueador de escritura para asegurarse de que los contenidos permaneceninalteradas. A continuación se presenta un breve resumen de los diferentes tipos comúnmente disponibles de lastarjetas de memoria utilizadas en los teléfonos móviles.

Multi-Media Cards (MMC): 1Una tarjeta multimedia (MMC) es una tarjeta de disco de estado sólido con un conector de 7-pin.Tarjetas MMC tienen un bus de datos de 1 bit. Están diseñados con la tecnología flash, una tecnologíade almacenamiento no volátil que conserva la información una vez que se retira la alimentación de latarjeta.

Tarjetas Multi-Media son del tamaño de un sello postal (longitud 32 mm, ancho 24 mm, y el grosor de 1.4-mm).También existen tarjetas Reduced Size Multi-Media (RS-MMC). Ellos son aproximadamente la mitad del tamaño dela tarjeta MMC estándar (longitud de 18 mm-,-ancho de 24 mm, y el grosor-1.4mm). Un RS-MMC se puede utilizaren una ranura MMC de tamaño completo con un adaptador mecánico. Una tarjeta regular MMC también se puedeutilizar en una ranura de la tarjeta RS-MMC, aunque parte de ella se proyectará hacia fuera de la ranura. MMCplus yMMCmobile son variantes de mayor rendimiento de las tarjetas MMC y RS-MMC, respectivamente, que tienenconectores de 13 pines y buses de datos de 8 bits.

Secure Digital (SD) Tarjetas: 2Tarjetas de memoria Secure Digital (SD) (longitud 32 mm, ancho 24 mm, y el grosor-2,1 mm) son comparables con el tamaño y el diseño de estado sólido de tarjetas MMC. De hecho, SDranuras para tarjetas menudo pueden alojar tarjetas MMC también. Sin embargo, las tarjetas SD tienen un

9 - pines y un bus de datos de 4 bits, las cuales ofrecen una velocidad de transferencia más alta. Tarjetas de memoriaSD tienen un interruptor de prevención de borrado, mantener el interruptor en la posición de bloqueo protege losdatos contra el borrado accidental. También incluyen controles de seguridad para la protección de contenido (esdecir, la protección de contenido Rights Management). Tarjetas MiniSD son una extensión compatibleeléctricamente de la estándar de la tarjeta SD existente en un formato más compacto (longitud 21,5 mm, ancho 20mm-, y

1Imagen cortesía de Lexar Media. Usado con permiso.



7

-espesor 1,4 mm). Se ejecutan en el mismo bus de hardware como una tarjeta SD, y también incluyencaracterísticas de seguridad de protección de contenido, pero que tienen un conector de 11-pin y una menorcapacidad potencial debido a las limitaciones de tamaño. Para la compatibilidad con versiones anteriores, unadaptador permite que una tarjeta MiniSD para trabajar con ranuras para tarjetas SD existentes.

Memory Stick: 3Tarjetas de memoria proporcionan memoria de estado sólido de un tamaño similar, pero más pequeñoque una barra de chicle (longitud 50 mm, ancho-21.45mm de espesor-2.8mm). Tienen un conector de 10pines y un bus de datos de 1 bit. Al igual que con las tarjetas SD, tarjetas de memoria también tienen uninterruptor incorporado de prevención de borrado para proteger los contenidos de la tarjeta. TarjetasMemory Stick PRO ofrecen mayor capacidad y velocidades de transferencia de tarjetas de memoriaestándar, usando un 10-pin

conector, pero con un bus de datos de 4 bits. Memory Stick Duo y Memory Stick PRO Duo, versiones máspequeñas de la Memory Stick y Memory Stick PRO, son alrededor de dos tercios del tamaño de la tarjeta dememoria estándar (longitud 31 mm, ancho 20 mm, grosor 1,6 mm). Se requiere un adaptador de Memory StickDuo o Memory Stick PRO Duo para trabajar con ranuras de Memory Stick estándar.

TransFlash: 4TransFlash, recientemente renombrado MicroSD, es una tarjeta de tamaño extremadamente pequeño

(longitud 15 mm,

ancho de 11-mm, y el grosor-1 mm). Debido a la eliminación y manipulación frecuente pueden sertorpe, que se utilizan más como un módulo de memoria semi-extraíble. Tarjetas TransFlash tienen unConector de 8 pines y un bus de datos de 4 bits. Un adaptador permite que una tarjeta de TransFlash para serutilizado en dispositivos SD. Del mismo modo, el dispositivo MMCmicro es otra tarjeta ultra pequeño (longitud de14-mm, ancho de 12-mm, y el grosor-1,1 mm), compatible con los dispositivos habilitados para MMC a través deun adaptador. Tarjetas MMCmicro tienen un conector de 11 pines y un bus de datos de 4 bits. Más recientemente, latarjeta Memory Stick Micro ha surgido, que también es muy pequeña (longitud 12,5 mm, ancho de 15-mm, y elgrosor-1,2 mm) y, con un adaptador mecánico apropiado, capaz de ser utilizado en dispositivos que soportan eltamaño más completa cartas de la familia Memory Stick. Tarjetas Memory Stick Micro tienen un 11 - pin conector yun bus de datos de 4 bits


4Imagen cortesía de SanDisk. Usado con permiso.


8

Kits de herramientas forensesLa variedad de herramientas forenses para teléfonos celulares y otros dispositivos portátiles es diversa. Un grannúmero de herramientas de software y herramientas existen, pero la gama de dispositivos sobre los que operannormalmente se redujo a distintas plataformas para la línea de fabricación de los productos, una familia de sistemasoperativos, o un tipo de arquitectura de hardware. Por otra parte, las herramientas requieren que el examinador tieneacceso completo al dispositivo (es decir, el dispositivo no está protegido por algún mecanismo de autenticación o elexaminador puede adaptarse a cualquier mecanismo de autenticación encontró).

Aunque la mayoría de kits de herramientas soportan una amplia gama de la adquisición, exploración, y las funcionesde presentación de informes, algunas herramientas se centran en un subgrupo. Del mismo modo, diferentesherramientas pueden ser capaces de utilizar diferentes interfaces (por ejemplo, infrarroja [IR], Bluetooth o cableserie) para adquirir contenidos del dispositivo. Los tipos de información una herramienta puede adquirir puedenvariar ampliamente e incluyen Gestión de información personal (PIM) de datos (por ejemplo, la guía de teléfonos);registros de las llamadas telefónicas, mensajes SMS / EMS / MMS, correo electrónico y contenido de mensajeríainstantánea, direcciones URL y el contenido de la visita sitios Web, audio, video, y el contenido de la imagen, elcontenido SIM y datos de imágenes panorámicas. Presentar la información en un teléfono celular puede variardependiendo devarios factores, incluyendo los siguientes:

• Las capacidades inherentes a la teléfono implementado por el fabricante• Elmodificaciones realizadas en el teléfonoel proveedor de servicios u operador de red• La red servicios suscritos y utilizados por el usuario• Elmodificaciones realizadas en el teléfono por el usuario

Adquisición a través de una interfaz de cable generalmente produce resultados superiores a los de adquisición deotras interfaces del dispositivo. Sin embargo, a pesar de una interfaz inalámbrica, tales como infrarrojos o Bluetoothpuede servir como una alternativa cuando el cable correcto no está fácilmente disponible, que se debe utilizar comoúltimo recurso debido a la posibilidad de cambios en el aparato durante la adquisición. Independientemente de lainterfaz utilizada, hay que estar atentos acerca de los problemas forenses asociadas. Nótese también que elcapacidad de adquirir el contenido de una tarjeta SIM residente no puede ser apoyado por algunos instrumentos, enparticular los muy orientada hacia la PDA. La Tabla 1 muestra de código abierto y está disponible comercialmentelas herramientas y los servicios que prestan para ciertos tipos de teléfonos celulares.

Tabla 1: Cell Phone Tools

Función Características

Device SeizureAdquisición,

reconocimiento, presentaciónde informes

• Objetivos Dispositivos Palm OS, Pocket PC, teléfonosde RIM OS y ciertos modelos de GSM, TDMA yCDMA

• Compatible con la recuperación de interna y externaSIM

• Compatible con única interfaz de cable

pilot-link Adquisición

• Objetivos Palm OS móviles• Abierto software de código no forense• No apoyo para la recuperación de información de SIM• Compatible con única interfaz de cable


9


GSM. XRYAdquisición,


• Objetivos ciertos modelos de GSM y CDMAteléfonos

• Interna y soporte SIM externa• Requiere PC / lector de tarjetas inteligentes

compatible con SC para tarjetas SIM externos• Cable, Bluetooth e interfaces IR soportados• Compatible con radio aislamiento creación SIM

con la tarjeta de propiedad

Oxygen PM(versión forense)

Adquisición,reconocimiento, presentaciónde informes

• Objetivos ciertos modelos de teléfonos GSM• Compatible con sólo la adquisición SIM interna

MOBILedit!Forense

Adquisición,reconocimiento, presentaciónde informes

• Objetivos ciertos modelos de teléfonos GSM• Interna y soporte SIM externa• Compatible con por cable y las interfaces IR

BitPimAdquisición,Examen

• Objetivos ciertos modelos de teléfonos CDMA• Abierto software de código con capacidades de

escritura de bloqueo• No apoyo para la recuperación de información de SIM

TULP2G Adquisición, Reporting

• Objetivos Los teléfonos GSM y CDMA que utilizan losprotocolos soportados para establecer la conectividad

• Interna y soporte SIM externa• Requiere Lector de tarjetas inteligentes PC / SC

compatible con las tarjetas SIM externos• Cable, Bluetooth e interfaces IR soportados• Compatible con radio aislamiento creación SIM con

Tarjeta Xpresso GEM

SecureViewAdquisición,


• Objetivos Los teléfonos GSM, CDMA y TDMA queutilizan los protocolos soportados para establecer laconectividad

• Interna y soporte SIM externa• Requiere Lector de tarjetas inteligentes PC / SC

compatible con las tarjetas SIM externos• Cable, Bluetooth e interfaces IR soportados

PhoneBase2 Adquisición,

reconocimiento, presentación

de informes


• Externa Soporte SIM• Requiere Lector de tarjetas inteligentes PC / SC

compatible con las tarjetas SIM externos• Cable, Bluetooth e interfaces IR soportados

CellDEK Adquisición,

reconocimiento, presentación

de informes


• Interna y soporte SIM externa• Construido en PC lector de tarjetas inteligentes

compatible con SC / para tarjetas SIM externos• Cable, Bluetooth y las interfaces IR soportados


10

Debido a la forma en los teléfonos GSM son lógica y físicamente dividida en un teléfono y SIM, una serie deherramientas de software forenses han surgido que tienen que ver exclusivamente con tarjetas SIM de formaindependiente de sus teléfonos. El SIM debe ser retirada de su teléfono y se inserta en un lector apropiado para laadquisición. Herramientas forenses SIM requieren ya sea un lector especializado que acepta una tarjeta SIM directa oun lector de propósito general para una tarjeta inteligente de tamaño completo. En este último caso, una de tamañoestándarse necesita adaptador de tarjeta inteligente para alojar la tarjeta SIM para su uso con el lector. Tabla 2 enumeravarias herramientas forenses SIM. Los siete primeros en la lista, Device Seizure, TULP2G, GSM. XRY,MOBILedit!, SecureView, PhoneBase2 y CellDEK también se encargan de la adquisición de la memoria delteléfono, como se señaló anteriormente.

Tabla 2: SIMHerramientas


DispositivoIncautación

Adquisición, reconocimiento,presentación deinformes

• También recupera información de una tarjeta SIM através del teléfono

• Requiere Lector SIM propietaria del paraben

TULP2G Adquisición, Reporting


• Compatible con Lector PC / SC• Compatible con creación SIM radio aislamiento

GSM. XRYAdquisición, reconocimiento,

presentación deinformes


• Compatible con Lector PC / SC• Compatible con creación SIM radio aislamiento

MOBILedit!Forense

Adquisición, reconocimiento,presentación deinformes


• Compatible con Lector PC / SC

SecureViewAdquisición, reconocimiento,



• Compatible con Lector PC / SC

PhoneBase2Adquisición, reconocimiento,


• Externa Tarjetas SIM sólo• Compatible con Lector PC / SC

CellDEKAdquisición, reconocimiento,



• Interna Lector PC / SC

SIMIS2Adquisición, reconocimiento,


• Externa Tarjetas SIM sólo• Compatible con Lector PC / SC• Compatible con creación SIM radio aislamiento

ForensicSIMAdquisición, reconocimiento,


• Externa Tarjetas SIM sólo• Requiere Propietaria SIM de ForensicSIM

lector• Compatible con creación SIM radio aislamiento

Card ForenseLector Adquisición, Reporting


SIMConAdquisición, reconocimiento,



USIMdetectiveAdquisición, reconocimiento,




11

Herramientas de software forenses adquirir datos desde un dispositivo en una de dos maneras: la adquisiciónfísica o lógica de adquisición. Adquisición física implica una copia bit a bit de una tienda física completa (porejemplo, una unidad de disco o chip de memoria RAM), mientras que la adquisición de lógica implica una copiabit a bit por bit de lógicaobjetos de almacenamiento (por ejemplo, los directorios y archivos) que residen en un almacén lógico. La diferenciaradica en la distinción entre la memoria, como se ve por un proceso a través de las instalaciones del sistemaoperativo (por ejemplo, una vista lógica), frente a la memoria, como se ve por el procesador y otros componentes dehardware (es decir, una visión física). En general, la adquisición física es preferible, ya que permite a los restos dedatos actual (por ejemplo, la memoria RAM no asignado o espacio de sistema de archivos no se utiliza) a serexaminado, que de otro modo no contabilizada ir en una adquisición de lógica. Imágenes de dispositivos físicos songeneralmente más fácilmente importados en una herramienta más para su examen y presentación de informes. Sinembargo, una lógica de adquisiciónestablece una organización más natural y comprensible de la información adquirida. Por lo tanto, si es posible,haciendo ambos tipos de adquisición es preferible.

Las herramientas no diseñados específicamente para propósitos forenses son cuestionables y deben ser evaluados afondo antes de su uso. Aunque las herramientas de software tanto forenses y no forenses suelen utilizar los mismosprotocolos para comunicarse con un dispositivo, herramientas forenses no permiten un flujo bidireccional deinformación con el fin de poblar y administrar el dispositivo, y por lo general no calculan hashes de adquirircontenido para fines de integridad. La documentación también puede ser limitada y el código fuente disponible parael examen, el aumento de, respectivamente, la probabilidad de error y la disminución de la confianza en losresultados. Por un lado, las herramientas forenses no pueden ser el único medio de obtener información que puedaser relevante como prueba. Por otro, podrían sobreescribir, agregar, o causar que se pierda información, si no seutiliza con cuidado.

El resto de este capítulo se ofrece una breve introducción a cada herramienta utilizada para el presente informe.

Device SeizureDevice Seizure versión del paraben 1.1 es un conjunto de herramientas de software forense que permite a losmédicos forenses para adquirir, buscar, examinar, y los datos asociados con PDAs con Palm OS, Windows CE oRIM OS y los teléfonos celulares que operan más de CDMA, TDMA informe, así como las redes GSM y tarjetasSIM a través de lector de SIM propietaria RS-232 del paraben. Las características del dispositivo de convulsivosincluyen la capacidad de realizar una adquisición de lógica y física (depende del tipo de dispositivo), proporcionandouna vista de la memoria interna y la información pertinente relativa a los archivos individuales y bases de datos. Paraadquirir datos de teléfonos celulares que utilizan software Device Seizure del paraben, el cable adecuado se debeseleccionar de Herramientas del paraben o un cable compatible (por ejemplo, el Piloto de datos) para crear un enlacede datos entre el teléfono y la estación de trabajo forense. El tipo de teléfono que fue adquirido determina la interfazde cable. RS-232 y USB, conexiones de enlace de datos en serie se han establecido a través del puerto de datos delteléfono o la conexión de interfaz de bajo-batería. Device Seizure utiliza la función hash MD5 para proteger laintegridad de los archivos adquiridos. Las características adicionales incluyen marcadores de información que sefiltra y se organiza en un formato de informe, la búsqueda de cadenas de texto dentro de los datos adquiridos, ymontaje de forma automática imágenes encontradas en una sola instalación.

Piloto-Linkpilot-link es un paquete de software de código abierto desarrollado originalmente para la comunidad Linux parapermitir que la información que se transfiere entre hosts de Linux y los dispositivos Palm OS. Se ejecuta en otrossistemas operativos de escritorio, además de Linux, como Windows y Mac OS. Alrededor de treinta


12

programas de línea de comandos comprenden la suite de software. Para realizar un volcado física y lógica, piloto deenlace establece una conexión con el dispositivo con la ayuda del protocolo de HotSync. Los dos programas deinterés para los examinadores forenses están pi-pi-getram y getrom que recuperar respectivamente el contenido físicode la memoria RAM y ROM de un dispositivo. Otro programa útil es pilot-xfer, que permite la instalación deprogramas y la copia de seguridad y restauración de bases de datos.pilot-xfer proporciona un medio para adquirir el contenido de un dispositivo lógico. Los contenidos obtenidos conestas utilidades pueden ser examinados manualmente con el emulador de Palm OS (POSE), una herramienta forensecompatible, como EnCase, o un editor hexadecimal. piloto de enlace no proporciona valores de hash de lainformación adquirida, lo que requiere una etapa separada para ser llevado a cabo para obtenerlos.

GSM. XRYSoftGSM de Micro Systemation. XRY es un conjunto de herramientas de software forense para la adquisición dedatos de GSM, CDMA, teléfonos móviles de 3G y tarjetas SIM / USIM. La unidad. XRY es capaz de conectar con elteléfono celulardispositivos a través de infrarrojos, Bluetooth o un cable de interfaz. Después de establecer la conectividad, elmodelo de teléfono se identifica con una imagen correspondiente del teléfono, el nombre del dispositivo, fabricante,modelo, número de serie (IMEI), identificación del suscriptor (IMSI), el código de fabricante, reloj del dispositivo, yel reloj del PC. Los datos obtenidos de los dispositivos de telefonía celular se almacenan en el formato XRY. Y nose pueden modificar, pero se pueden exportar a formatos externos y ver con aplicaciones de terceros. Después deuna exitosa adquisición, los siguientes campos se pueden rellenar con datos, dependiendo de la funcionalidad delteléfono: la pantalla de resumen, los datos de casos, Información general, contactos, llamadas, calendario, SMS,imágenes, audio, archivos, notas, tareas, MMS Network Información y Video. Los archivos gráficos, archivos deaudio y archivos internos presentes en el teléfono se pueden ver de forma interna o exportados a la estación detrabajo forense para su custodia o de una mayor investigación.

Además, existe soporte para la creación de una tarjeta SIM sustituto para un original, el uso de una tarjeta SIMregrabable propietario. El SIM sustituto creado proporciona la capacidad de adquirir un dispositivo dedesactivación, mientras que las comunicaciones de red. Al proporcionar aislamiento de radio durante laadquisición, el ID de función Cloner SIM elimina la posibilidad de que los datos de entrada de sobrescriturainformación recuperable. Esta funcionalidad también permite a los dispositivos GSM que no son legibles sin unpresente SIM para ser adquirida si falta la tarjeta SIM.

Oxygen Phone ManagerLa versión forense de Oxygen Phone Manager (OPM) está disponible para los departamentos de policía, unidadesde aplicación de la ley, y todos los servicios públicos que deseen utilizar el software para fines de investigación. Laversión forense difiere de la versión no-forense de la Oficina del Primer Ministro, al prohibir cualquier cambio enlos datos durante la adquisición. En el informe anterior (NISTIR 7250 del teléfono celular forense Herramientas:una visión general y análisis) Erróneamente publicado resultados utilizando la versión no-forense de Oxygen PhoneManager, por lo tanto, cada dispositivo se vuelve a llenar y volver a examinar el uso de la versión forense de laOPM. La clasificación de los escenarios reportados anteriormente enNISTIR 7250 teléfono celular Herramientasforenses: una visión general y análisisson consistentes con los hallazgos en el presente informe con la versiónforense de la OPM.

Además, Oxygen Phone Manager proporciona una versión del software para los dispositivos basados en Symbian,permitiendo examinadores para crear una conexión por cable con la ayuda de un agente instalado en el dispositivo,de lo contrario adquisiciones deben ser peformed a través de Bluetooth o navegar manualmente por el dispositivo.Se aconseja a los examinadores a tomar extrema precaución y consultar con un especialista forense


13

cuando la adquisición de dispositivos que requieren modificación o Bluetooth conectividad, que puedenpotencialmente dañar pruebas valiosas presentes en el dispositivo.

OPM permite a los examinadores para adquirir datos desde el dispositivo y exportar los datos adquiridos enmúltiples formatos soportados. El software OPM se adapta a los teléfonos móviles y teléfonos inteligentesfabricados por: algunos modelos de Samsung Nokia, Sony Ericsson, Siemens, Panasonic, Sendo, BenQ y. OPMofrece bibliotecas de software, bibliotecas ActiveX y componentes para Borland Delphi para desarrolladores desoftware.

MOBILedit!MOBILedit! Forensic es una aplicación que da examinadores de la capacidad de adquirir lógicamente, buscar,analizar y reportar datos de PCS / dispositivos de telefonía celular GSM / CDMA. MOBILedit! es capaz deconectarse a dispositivos de telefonía celular a través de un puerto de infrarrojos (IR), un enlace Bluetooth o un cablede interfaz. Después de conectividad se ha establecido, el modelo de teléfono se identifica por su fabricante, númerode modelo, y el número de serie (IMEI) y con una imagen correspondiente del teléfono. Los datos adquiridos a partirde dispositivos de teléfonos celulares se almacenan en el formato de archivo. Med. Después de una exitosaadquisición, los siguientes campos se rellenan con los datos: información de abonado, especificaciones dedispositivos, Agenda, Agenda SIM, llamadas perdidas, los últimos números marcados, llamadas recibidas, Bandejade entrada, Enviados, Borradores, carpeta de archivos. Elementos presentes en la carpeta Archivos, que van desdearchivos de gráficos de fotos Cámara y tonos, dependen de las capacidades del teléfono. Las característicasadicionales incluyen el servicio myPhoneSafe.com, que proporciona acceso a la base de datos de IMEI para registrary comprobar los teléfonos robados.

BitPimBitPim es un programa de gestión de teléfono que se ejecuta en Windows, Linux y Mac OS y permite lavisualización y manipulación de datos en los teléfonos celulares. Estos datos incluyen la guía telefónica,calendario, fondos de pantalla, tonos de llamada, videos, notas, SMS, CallHistory, T9 base de datos y el sistemade archivos integrado. Para adquirir datos utilizando con éxito BitPim, los examinadores deben tener el conductory el cable para formar una conexión entre el teléfono y la estación de trabajo forense. BitPim proporcionainformación detallada que figura en el archivo de ayuda, destacando los teléfonos compatibles, cables sugeridospara usar con los modelos de teléfonos específicos, y notas y How-Tos sobre situaciones específicas. BitPim sedistribuye como software libre bajo la Licencia Pública General GNU.

TULP2GTULP2G (segundo generación) es una herramienta de software forense de código abierto originado por el InstitutoForense de Holanda que permite a los examinadores para extraer y leer los datos de los teléfonos celulares móviles ytarjetas SIM. TULP2G requiere una estación de trabajo forense que ejecuta Windows 2000 o XP, preferiblementecon los últimos parches y Service Pack instalado, junto con. NET 1.1 SP1. Con el fin de aprovechar las reciénlanzado 1.1 plug-ins, se requiere Windows XP SP2. TULP2G adquiere datos de los teléfonos móviles que utilizanun cable de datos adecuada, conexión Bluetooth o IrDA y un protocolo compatible plug-in. Lectura SIMs requiereun PC / lector compatible con SC de la tarjeta inteligente y, posiblemente, un adaptador para convertir una SIM detamaño pequeño para el formato de tarjetas inteligentes de tamaño estándar. Apoyo a la creación de un SIMsustituto, utilizando la prueba de una joya SIMs Xpresso SIMIC plug-in, y ofrece la posibilidad de adquirirdispositivos al deshabilitar las comunicaciones de red,


14

SecureViewSecureView de Susteen es un conjunto de herramientas de software forense que adquiere datos de los dispositivosmóviles que funcionan a través de GSM, CDMA, redes TDMA y extraer datos de las tarjetas SIM. SecureViewofrece examinadores con un acceso de sólo lectura entorno seguro, eliminando la manipulación o eliminaciónaccidental de datos importantes, mientras que el apoyo de más de 350 modelos de teléfono de EE.UU. y Canadá.SecureView adquiere datos de los teléfonos móviles a través de cable de datos, Bluetooth o una conexión IrDA. Kitde cable universal de celular único de Susteen ofrece una solución sencilla para varios modelos de teléfonos y sepuede utilizar con varias aplicaciones de adquisición de móviles.

PhoneBase2Prever Systems Ltd. PhoneBase2 ofrece examinadores de la capacidad de adquirir forma segura, buscar, analizar ycrear informes finalizados de los datos que residen en los dispositivos que operan sobre redes GSM y no GSM, asícomo extraer los datos de las tarjetas SIM. PhoneBase2 no incluye cables de datos necesarios para crear unaconexión de enlace de datos con éxito desde el dispositivo al PC. Varias soluciones de hardware de terceros (porejemplo, Susteen) se pueden utilizar con el cable y el controlador adecuado se instalan para una comunicaciónexitosa a través de un cable de interfaz. PhoneBase2 adquiere datos de los teléfonos móviles a través de cable dedatos, Bluetooth o un interfaz IrDA.

CellDEKCellDEK de Logicube Inc. está diseñado para obtener datos de los teléfonos celulares que operan sobre redes GSM yno GSM, PDAs, tarjetas SIM y los medios de comunicación basados en flash. La unidad proporciona CellDEKexaminadores con la capacidad de conectarse a los dispositivos mencionados a través de una conexión por cable,Bluetooth o IrDA. El terminal CellDEK contiene un incrustadas PC con pantalla táctil, cables de datos para variosfabricantes de teléfonos, PC / lector de tarjetas SIM SC y un lector de tarjeta de memoria flash protegida contraescritura, empaquetado en una caja de transporte resistente y hermético. Las adquisiciones se almacenan en el

Disco duro y de CellDEK se puede mover o copia de seguridad en una unidad flash USB.

SIMIS2SIMIS2 es una herramienta forense de Crownhill EE.UU. que da los examinadores de la capacidad de extraer losdatos de una tarjeta SIM segura y proteger la integridad de los datos con los hashes criptográficos. Se necesita undongle USB para operar el software en una computadora de escritorio. El escritorio SIMIS2 es capaz de decodificarlos datos Unicode se encuentran en la tarjeta SIM, como mensajes de texto activos y eliminados e información guíatelefónica. La compañía también ofrece la SIMIS2 Lector de mano móvil, que es un lector de SIM independienteportátil que puede capturar los datos SIM para la transferencia al escritorio SIMIS2. Apoyo para la creación de unatarjeta de radio-aislamiento, proporciona examinadores con la capacidad de adquirir dispositivos sin interrupción dela red, a través de la unidad de mano SIMIS.

ForensicSIMForensicSIM Toolkit Radio de táctica consta de los siguientes componentes: Terminal de adquisición, tarjeta decontrol, tarjetas de almacenamiento de datos, aplicaciones de análisis, y lector de tarjetas. El terminal de adquisiciónes una unidad independiente que guía al examinador a través de cada paso del proceso de adquisición. El kit deherramientas ForensicSIM trata de dos procesos: adquisición de datos y análisis de los datos. La adquisición de datosse lleva a cabo utilizando el terminal de adquisición. El análisis de datos se lleva a cabo utilizando el lector de tarjetasForensicSIM, unido a una PC que ejecuta la aplicación de análisis ForensicSIM. La principal función del terminal espara capturar las copias de los datos de la tarjeta SIM de destino para un conjunto de tarjetas de almacenamiento dedatos. Una tarjeta de control se utiliza para proporcionar el acceso examinador a la terminal de adquisición,


15

frustrando el uso no autorizado. Las tarjetas de almacenamiento de datos consisten en una tarjeta principal dealmacenamiento de datos, una tarjeta de almacenamiento de datos de procesamiento, una tarjeta de almacenamientode datos de la defensa, y la tarjeta de acceso del auricular. La tarjeta de acceso auricular sirve como sustituto de unatarjeta SIM para un teléfono, lo que permite que el dispositivo se adquirió con las comunicaciones de red condiscapacidad. El kit de herramientas permite a los examinadores de acceso de sólo lectura a SIMs y genera informesde texto basado en los contenidos adquiridos. Los informes pueden ser vistos internamente, guardar en disco oimprimirse para fines de presentación.

Lector de tarjetas ForenseEl lector de tarjetas Forense (FCR) se compone de un lector de tarjeta inteligente USB y el software de FCR que dalos examinadores de la capacidad de adquirir datos de las tarjetas de SIM sin modificación. El examinador tiene laposibilidad de seleccionar los elementos de datos específicos que luego pueden ser almacenados y mostrados en uninforme final. Detalles de operaciones, como el número de caso, el número de pruebas, y el examinador puede serfusionado de forma automática en el informe y su nombre de archivo. Todos los elementos de los datos habitualesson adquiridas (por ejemplo, un directorio telefónico, números abreviados de marcado, los números de marcaciónfija y mensajes SMS), comoasí como los identificadores de la tarjeta SIM y el abonado. Elementos especiales como los mensajes SMS borradostambién pueden ser adquiridos. El FCR almacena un informe completo en un formato XML. Tarjetas SIM parateléfonos móviles GSM y móviles 3G se pueden utilizar con la FCR. Censada extendidas pueden ser adquiridos,incluidos los números adicionales y direcciones de correo electrónico. El lector FCR suministradoacepta ya sea pequeñas o grandes tarjetas SIM sin la necesidad de un adaptador.

SIMConSIMCon funciona con cualquier lector de tarjetas inteligentes compatible con el estándar con el estándar PC / SC.Al completar la adquisición de los datos de la tarjeta SIM, el contenido de la tarjeta SIMCon se almacena enarchivos únicos identificados por un código de identificación del archivo de dos bytes. Los archivos individualespueden contener muchos elementos informativos llamados "elementos" y se muestran en forma de tabla. Cadaelemento, cuando se selecciona, se puede mostrar en hexadecimal o una interpretación textual. Además decontenido de archivo SIM estándar, SIMCon también tiene la opción de hacer un análisis exhaustivo de todos losdirectorios y archivos que pueden estar presentes en la tarjeta SIM, para adquirir los directorios y archivos noestandarizados. Los examinadores pueden crear informes personalizados mediante la selección de la informaciónde archivo que se refiere a la investigación.

USIMdetectiveUSIMdetective herramienta de adquisición SIM Quantaq Solutions ofrece examinadores con el abiltity paraadquirir, analizar y generar informes desde cualquier tarjeta SIM o USIM usando una PC / SC lector compatible.Elementos adquiridos se pueden mostrar en un formato de texto o hexadecimal. Archivos de comprobación deintegridad de imagen (. CII) se crean con cada adquisiciones proporcionando protección contra la manipulación dedatos en análisis ulteriores. USIMdetective proporciona informes múltiples tipos de salidas, a partir de un "informeestándar" a un "Informe de contenido de archivos", que proporciona más fino detalle de los datos adquiridos.


16

Descripción AnálisisUna metodología sencilla se siguió para comprender y evaluar las capacidades de las herramientas forenses descritosen la sección anterior. Los pasos principales se ilustran en la Figura 3. En primer lugar, se reunió a un grupo dedispositivos de destino que van de lo simple a los teléfonos inteligentes. A continuación, se llevó a cabo un conjuntode actividades prescritas, como realizar y recibir llamadas, para cada teléfono. Después de la aplicación de uno o másde tales escenarios, el contenido del teléfono y / o asociados SIM fueron adquiridos utilizando una herramientadisponible y se examinaron para determinar si la evidencia de una actividad podría ser recuperado como se esperaba.Por último, se realizó una misión de lo bien que la herramienta cumple las expectativas predefinidas. Al menos dospersonas diferentes realizan cada escenario y se les asigna una clasificación por separado, se resolvieron lasdiscrepancias observadas.

Figura 3: Herramienta deEvaluación

Para los teléfonos GSM, se aplicaron dos conjuntos de escenarios: uno para los teléfonos que contienen un SIMasociada, y el otro para tarjetas SIM retirados de sus teléfonos móviles y examinaron de forma independiente. ParaCDMA y otros tipos de teléfonos que no dependen de una tarjeta SIM, sólo se utilizó el anterior conjunto.

Dispositivos de destinoSe necesita un número adecuado pero limitado de dispositivos de destino en el que para llevar a cabo losescenarios. Los dispositivos de destino seleccionados, aunque no muy abundante, cubre una amplia gama desistemas operativos, tipos de procesadores y componentes de hardware. Estas variaciones fueron pensados paradescubrir diferencias sutiles en el comportamiento de las herramientas forenses en la adquisición y el examen.Tabla 3 destaca las características principales de cada dispositivo de destino, que se enumeran más o menos apartir de los dispositivos con más capacidades a dispositivos menos capaces, en lugar de alfabéticamente. Tenga encuenta que los dispositivos más capaces enumerados tienen una herencia PDA, en la medida en que utilizanWindows Mobile, Palm OS, RIM OS o sistemas operativos Symbian.

Tabla 3: Características del dispositivo de destino

Software Hardware Sin hilos

SamsungSGH-i300

Windows Mobile 2003SE, SMS, EMS, MMS, correoelectrónico (IMAP4, POP3)Web (HTML, WAP 2.0)

416 MHz Intel XScaleprocesador3 GB HDD64 MB RAM

Pantalla a color

262144 colores TFTmostrar1.3 megapixel / flash de lacámaraTransFlash ranura

GSM 900/1800/1900GPRSBluetoothIrDA


17


MotorolaMPX220

Windows Mobile paraTeléfonos inteligentes 2003SMS, EMS, MMS

Chat SMS

Email(IMAP4, POP3) Web

(HTML, WAP 2.0)

200 MHz OMAP 1611procesador64 MB ROM32 MB RAMPantalla a colorSegundo monocromopantalla

de la cámara

Slot MiniSD

GSM 850/900 /1800/1900GPRS

Bluetooth

IrDA

Treo 600 Palm OS 5.2SMS, EMS, MMSChat SMSEmail(POP3, SMTP) Web(HTML 4.0, XHTML,WML 1.3)

144 MHz OMAP 1510Procesador basado en ARM32 MB de RAM (24 MBdisplay ranuradisponible) ColorQWERTY teclado SD /MMC (con SDIO)

GSM 850/900 /1800/1900GPRSIrDA

SonyEricsson

P910a

Symbian 7.0, 2.1 UIQSMS, EMS, MMS Email(POP3, IMAP4) Web(WAP)

Procesador ARM 964MB ROM 32MBRAMPantalla en colorCámaraMemory Stick Pro Duo slot

GSM 850/1800/1900HSCSD, GPRSBluetoothIrDA

Samsungi700

Pocket PC 2002 Phone

EdiciónSMS (sin EMS / MMS)Correo electrónicoWebMensajería instantánea

300 MHz StrongArm

Procesador PXA250Memoria flash de 32 MB64MB SDRAMcolor de pantalla dela cámara giratoriaSD / MMC (conSDIO)

AMPS 800

CDMA 800/19001xRTTIrDA

Nokia 7610 Symbian 7.0 Series 60

2.0SMS,MMSConcatenated Correoelectrónico SMS (SMTP,POP3, IMAP4)Mensajería instantáneaWeb (WAP 2.0, HTML,XHTML y WML)

Procesador de 123 MHz

8 MB de memoria dinámica

interna

Pantalla en colorCámaraTamaño reducido MMC

GSM 850/1800/1900

HSCSD, GPRS

Bluetooth

Kyocera7135

Palm OS 4.1SMS, EMS (sin MMS)Correo electrónico (POP,IMAP, SMTP)Web (HTML 3.2)

33 MHz Dragonball VZprocesador16 MB volátilColor de la pantalla SD / MMCranura (con SDIO)

AMPS 800CDMA 800/19001xRTTIrDA


18


BlackBerry7780

RIM OSSMSEmail(POP3)

Web (WAP)

16 MB de memoria flashmás 2 MB SRAMcolor de pantalla conteclado QWERTY

GSM 850/1800/1900GPRS

BlackBerry7750

RIM OSSMS (sin EMS / SMS)Email (POP3, IMAP4) Web(WAP 2.0, WML / HTML)

ARM7TDMI(Chipset Qualcomm5100)14 MB de memoria flash2 MB SRAM color de

la pantalla del teclado

QWERTY

CDMA 800/19001xRTT

MotorolaV300

SMS, EMS, MMSChat SMSNokia Smart MensajeInstantáneo de mensajeríade correo electrónico(SMTP, POP3, IMAP4)Web (WAP 2.0)

Memoria interna de 5 MBPantalla en colorCámara

GSM 900/1800/1900GPRS

LG4015 SMS, EMS, MMSChat SMS, EmailWeb (WAP 2.0)

Memoria interna 610KBPantalla en color

GSM 850/1900GPRS

Nokia 6610i Serie 40SMS, MMS SMSconcatenados SMS chatNo emailWeb (WAP 1.2.1XHTML)

4 MB de memoria de usuarioPantalla a color de 8 líneasCámaraRadio FM

GSM 900/1800/1900HSCSD, GPRSIrDA

EricssonT68i

SMS / EMS mensajería

MMS mensajería de

correo electrónico (POP3,

SMTP) Chat SMS

Web (WAP 1.2.1/2.0,

WLTS)

Pantalla en color

Accesorio de la

cámara opcional

GSM 900/1800/1900

HSCSD, GPRS

Bluetooth

IrDA

Sanyo 8200 SMS, EMSPicture MailEmailWeb WAP 2.0De móvil a móvil(Walkie talkie)

Pantalla en color

Segundo pantalla a colorCámara

AMPS 850CDMA 850/1900


* Acquisition is supported only for non pay-as-you go carriers

19


Nokia 6200 SMS, EMS, MMS

Emaila través de

SMS Chat SMS

Web (WAP 1.2.1,

XHTML)

Pantalla en colorRadio FM

GSM 850/1800/1900

GPRS, EDGE

IrDA

Audiovox8910

EMS, MMSSMS Chat NoemailWeb (WAP 2.0)

Pantalla en colorSegundo monocromomostrarCámara

AMPS 850CDMA800/19001xRTT

MotorolaC333

SMS, SMS dechat ccsmeWeb (WAP 1.2.1)

Pantalla gráficamonocromática

GSM 850/1900GPRS

MotorolaV66

SMS (no el ccsme)AOL Instant MessengerWeb (WAP 1.1)

Pantalla gráfica

monocromática

GSM 900/1800/1900GPRS

Nokia 3390 SMSMensajes con fotosEmaila través de SMSAOL Instant Messager

Pantalla gráficamonocromática

GSM 1900

No todas las herramienta soporta todos los dispositivos de destino. De hecho, lo contrario es cierto - una herramientaespecífica típicamente soporta sólo un número limitado de dispositivos. La determinación de qué herramientautilizar para el dispositivo que se basa principalmente en la lista documentada de la herramienta de teléfonoscompatibles. Siempre existía ambigüedad, un intento de adquisición se llevó a cabo para tomar una determinación.La Tabla 4 resume los diferentes dispositivos de destino utilizados con cada herramienta. El orden de losdispositivos no es pertinente en las capacidades que se alfabetizan de coherencia en todo el resto del documento. Elcuadro no incluye herramientas SIM forenses, que apoyan la mayoría de tarjetas SIM que se encuentran en losdispositivos GSM.

Tabla 4: dispositivos de destino compatibles con cada herramienta

Dev

ice

Seiz

ure

Pilo

to-li

nk

GSM

. XR

Y

OPM

MO

BILe

dit!

TULP

2G

BitP

im

Secu

reVi

ew

Phon

eBas

e2

Cel

lDEK

Audiovox 8910 X X x *

Blackberry 7750 X

Blackberry 7780 X

Ericsson T68i X X X X X X X


* Acquisition is supported only for non pay-as-you go carriers

20

Dev

ice

Seiz

ure

Pilo

to-li

nk

GSM

. XR

Y

OPM

MO

BILe

dit!

TULP

2G

BitP

im

Secu

reVi

ew

Phon

eBas

e2

Cel

lDEK

Kyocera 7135 X X

LG4015 X x *

Motorola C333 X X X X

Motorola MPX220 X

Motorola V66 X X X X X X X

Motorola V300 X X X X X X X

Nokia 3390 X X X

Nokia 6200 X X X

Nokia 6610i X X X X X X X X

Nokia 7610 X X

Samsung i700 X

Samsung SGH-i300

Sanyo 8200 X X

Sony Ericsson P910a X

Treo 600 X X

Aunque SIMs están altamente estandarizados, su contenido puede variar entre los operadores de redes yproveedores de servicios. Por ejemplo, un operador de red puede crear un archivo adicional en la tarjeta SIM parasu uso en sus operaciones o puede instalar una aplicación para proporcionar un servicio único. SIM tambiénpueden ser clasificados de acuerdo a la "fase" de las normas GSM que apoyan. Las tres fases son definidos fase1, fase 2 y fase 2 +, que corresponden más o menos a la primera, segunda, y 2,5 instalaciones de la red degeneración. Otra clase de tarjetas SIM en el despliegue temprano es universal SIM (USIM) usado en la tercerageneración (3G).

A excepción de pay-as-you-go teléfonos, cada teléfono GSM se combina con una tarjeta SIM que ofrecía servicioscompatibles con las capacidades del teléfono. Sólo un subconjunto de las tarjetas SIM utilizadas en los escenariosde teléfonos fueron utilizados para los escenarios de la tarjeta SIM. Tabla 5 enumera el identificador y la fase delas tarjetas SIM utilizadas en este análisis, el operador de red asociada, y algunos de la red de asociados


21

servicios activados en el SIM. A excepción de pay-as-you-go teléfonos, cada teléfono GSM se combina con unatarjeta SIM que ofrecía servicios compatibles con las capacidades del teléfono.

Tabla 5: SIMs

SIM Fase Red Servicios

1144

2 - Descargael perfil

requeridoAT & T

Números de marcación abreviada (ADN)Números de marcación fija (FDN)Breve de almacenamiento demensajes (SMS) últimos númerosmarcados (LND)General Packet Radio Service (GPRS)

8778


requeridoCingular

Números de marcación abreviada (ADN)Números de marcación fija (FDN)Breve de almacenamiento de mensajes(SMS) últimos números marcados(LND) Grupo Identificador Nivel 1(GID1) Identificador Nivel 2 (GID2)Servicio de números de marcación degrupo (SDN)General Packet Radio Service (GPRS)

5343


requeridoT-Mobile

Números de marcación abreviada (ADN)Números de marcación fija (FDN)Breve de almacenamiento demensajes (SMS) últimos númerosmarcados (LND)General Packet Radio Service (GPRS)

En general, las herramientas forenses SIM no se recuperan cada posible elemento de un SIM. Mientras que algunasherramientas tienen como objetivo recuperar toda la información de actualidad, la mayoría se concentran en unsubconjunto considerado más útil como prueba forense. La amplitud de la cobertura varía considerablemente entrelas herramientas. Tabla 6 entradas proporcionan una visión general de los elementos recuperados, que se enumerana la izquierda, por las diversas herramientas forenses SIM, figuran en la parte superior.


22

Tabla 6: Contenido Cobertura de recuperación

Dev

ice

Seiz

ure

GSM

. XR

Y

MO

BILe

dit!

TULP

2G

FCR

Fore

nsic

SIM

SIM

Con

SIM

IS2

Secu

reVi

ew

Phon

eBas

e2

Cel

lDEK

USI

Mde

tect

ive

Internacional deTelecomunicaciones

MóvilesIdentidad de Abonado- IMSI

X X X X X X X X X X X

Tarjeta de Circuito IntegradoIdentificador- ICCID X X X X X X X X X X X

Abonado Móvil RDSI- MSISDN X X X X X X X X X X

Nombre del proveedor deservicios- SPN X X X X X X X

Identificación de la Fase-Fase X X X X X X X X

Tabla de servicio SIM- SST X X X X X

Preferencia de idioma- LP X X X X X X

La marcación abreviadaNúmeros- ADN X X X X X X X X X X X X

Últimos números marcados-LND X X X X X X X X X X X

Servicio de mensajes cortos-SMS

• Leído / no leído• Suprimido X

XXX

X XX

X XX

XX

XX

XX

XX

XX

Selector de PLMN- PLMNsel X X X X X X

PLMNs Forbidden-FPLMNs X X X X X X

Información de ubicación-LOCI X X X X X X X X X X

Localización GPRSInformación- GPRSLOCI

X X X X X


23

EscenariosLos escenarios que definen un conjunto de actividades prescritas usadas para medir las capacidades de laherramienta forense para recuperar información de un teléfono, a partir de la conectividad y la adquisición ymoviendo progresivamente hacia situaciones más interesantes relacionados con las aplicaciones más comunes,formatos de archivo y la configuración del dispositivo. Los escenarios no están destinados a ser exhaustiva o paraservir como una evaluación formal del producto. Sin embargo, en su intento de cubrir una amplia gama desituaciones comúnmente encontradas al examinar un dispositivo (por ejemplo, la ofuscación de datos, datos queocultan los datos, depuración) y son útiles en la determinación de las características y funcionalidades que ofreceun examinador.

Tabla 7 proporciona una visión general de estos escenarios, que son genéricos para todos los dispositivos concapacidades de telefonía celular. Para cada escenario en la lista, una descripción de su objeto, el método deejecución y resultados esperados se resumen. Tenga en cuenta que las expectativas son comparables a las de unexaminador tendría cuando se trata con el contenido de una unidad de disco duro en lugar de un PDA / teléfonocelular. Aunque las características de los dos son muy diferentes, la recuperación y el análisis de información deun disco duro es una línea de fondo bien entendida para la comparación y con fines pedagógicos. Por otra parte,existen medios comparables de recuperación de pruebas digitales de la mayoría de los teléfonos, tales comodesoldar y la eliminación de la memoria no volátil y la lectura de los contenidos con un programador dispositivoadecuado. Tenga en cuenta también que ninguno de los escenarios intente para confirmar si se preserva laintegridad de los datos en un dispositivo cuando la aplicación de una herramienta - tema que está fuera del alcancede este documento.

Tabla 7: Escenarios de teléfono

Guión Descripción

Conectividad y Recuperación Determinar si la herramienta puede conectarse correctamente al equipo y recuperar el

contenido de la misma.• Habilitar autenticación del usuario en el dispositivo antes de la

adquisición, que requiere un PIN, contraseña u otra información deautenticación que se sabe que se suministra para el acceso.

• Iniciar la herramienta en una estación de trabajo forense, intente conectarse con eldispositivo y adquirir su contenido, verificar que los resultados son consistentescon las características conocidas del dispositivo.

• Esperar que el mecanismo de autenticación (s) puede ser satisfecha sin afectar ala herramienta, y la información que reside en el dispositivo puede serrecuperada.

Las aplicaciones PIM Determinar si la herramienta se puede encontrar información, incluyendo borradoinformación, relacionados con la gestión de información personal (PIM)aplicaciones como la agenda y la Agenda.

• Crear varios tipos de archivos PIM en el dispositivo, eliminar selectivamentealgunas entradas, adquirir el contenido del dispositivo, localizar y visualizar lainformación.

• Esperar que toda la información relacionada con PIM en el dispositivo se puedeencontrar e informó, si no eliminado previamente. Esperar que los remanentes dela información borrada se pueden recuperar y reportados.


24

Marcadas / Recibidas TeléfonoLlamadas

Determinar si la herramienta se puede encontrar llamadas realizadas y recibidas,incluidas las llamadas sin respuesta y sean eliminados.

• Lugar y recibir varias llamadas desde y hacia diferentes números, borrar de formaselectiva algunas entradas, adquirir el contenido del dispositivo, buscar y mostrarlas llamadas realizadas y recibidas.

• Esperar que todas las llamadas realizadas y recibidas en el dispositivo pueden serdetectadas e informadas, si no eliminados. Esperar que los remanentes de lainformación borrada se pueden recuperar y reportados.

Mensajería SMS / MMS Determinar si la herramienta puede encontrar realizadas y recibidas SMS / MMSmensajes, incluyendo los mensajes eliminados.

• Lugar y recibir tanto mensajes SMS y MMS, eliminar selectivamente algunosmensajes, adquirir el contenido del dispositivo, buscar y mostrar todos losmensajes.

• Esperar que todos los mensajes SMS / MMS enviados y recibidos en eldispositivo pueden ser detectadas e informadas, si no eliminados. Esperar que losremanentes de la información borrada se pueden recuperar y reportados.

Mensajería Internet Determinar si la herramienta puede encontrar enviados y recibidos correo electrónico e InstantMensajes de mensajes (IM), incluidos los mensajes eliminados.

• Enviar y recibir tanto mensajes de correo electrónico y mensajería instantánea,eliminar selectivamente algunos mensajes, adquirir el contenido del dispositivo,buscar y mostrar todos los mensajes.

• Esperar que toda la mensajería instantánea y los mensajes en el dispositivo enviadosy recibidos pueden ser detectadas e informadas, si no eliminados. Esperar que losremanentes de la información borrada se pueden recuperar y reportados.

Aplicaciones Web Determinar si la herramienta se puede encontrar un sitio Web visitada y la informaciónintercambiada a través de Internet.

• Utilizar el dispositivo para visitar sitios web específicos y realizar consultas,eliminar selectivamente algunos datos, adquirir el contenido del dispositivo delocalizar y mostrar las direcciones URL de los sitios visitados y los datos asociadosadquirida (por ejemplo, imágenes, texto).

• Esperar que la información sobre la actividad Web más reciente se puedeencontrar e informó.

Formatos de archivo de texto Determinar si la herramienta se puede encontrar y mostrar una recopilación de archivos detexto que residen en el dispositivo, incluidos los archivos borrados.

• Carga el dispositivo con varios tipos de archivos de texto (a través de correoelectrónico y dispositivo de protocolos de sincronización) eliminarselectivamente algunos archivos, adquiera el contenido del dispositivo,encontrar y reportar los datos.

• Esperar que todos los archivos con los formatos de archivo de texto comunes (esdecir,. txt,. doc,

. Pdf) puede ser comprobada, se indicará, si no eliminado. Esperar que losremanentes de la información borrada se pueden recuperar y reportados.


25

Formatos de archivo de gráficos Determinar si la herramienta se puede encontrar y mostrar una recopilación de lagráficos formateados archivos que residen en el dispositivo, incluidos los archivos eliminados.

• Carga el dispositivo con varios tipos de archivos gráficos, (a través de correoelectrónico y dispositivo de protocolos de sincronización) eliminar selectivamentealgunos archivos, adquiera el contenido del dispositivo, localizar y visualizar lasimágenes.

• Esperar que todos los archivos con los formatos de archivos gráficos comunes (esdecir,. bmp,

. Jpg,. Gif,. Tif y. Png) se puede encontrar, informó, y se muestra enconjunto, si no se elimina. Esperar que los remanentes de la informaciónborrada se pueden recuperar y reportados.

Compressed Archive ArchivoFormatos

Determinar si la herramienta se puede buscar texto, imágenes y otra informaciónsituada dentro comprimido archivar archivos con formato (por ejemplo,. zip,. Rar, . Tar,

. Tgz y de extracción automática. Exe) que reside en el dispositivo.• Carga el dispositivo con varios tipos de archivos comprimidos (por correo

electrónico y protocolos de sincronización de dispositivos) adquieren elcontenido del dispositivo, buscar y mostrar nombres de archivos seleccionados ylos contenidos del archivo.

• Espera que el texto, imágenes y otra información contenida en los archivos losarchivos de formato comprimido puede ser encontrado y reportado.

Archivos mal llamada Determinar si la herramienta es capaz de reconocer los tipos de archivos con la información

de encabezado en lugar de la extensión de archivo, y encontrar los archivos de texto y

gráficos con formato común

que han sido mal llamada con extensiones engañosas.• Carga el dispositivo (por correo electrónico y protocolos de sincronización de

dispositivos) con diversos tipos de texto común (por ejemplo,. txt) y archivos degráficos (por ejemplo,. bmp,. jpg,. gif y. png) que han sido deliberadamente malllamada, adquirir el contenido del dispositivo, localizar y mostrar el texto y lasimágenes seleccionadas.

• Esperar que todo el texto mal llamada y archivos gráficos que reside en eldispositivo pueden ser reconocidos, informaron, y, para las imágenes, que semuestran.

Tarjetas de memoria periféricos Determinar si la herramienta se puede adquirir archivos individuales almacenados en unamemoriatarjeta insertada en el dispositivo y si los archivos borrados puede ser identificado yrecuperado.

• Insertar una tarjeta de memoria con formato que contiene texto, gráficos, archivosy archivos mal llamados en una ranura correspondiente del dispositivo, eliminealgunos archivos, adquiera el contenido del dispositivo, encontrar y visualizararchivos seleccionados y los contenidos del archivo, incluyendo archivosborrados.

• Esperar que los archivos de la tarjeta de memoria, incluyendo archivos borrados,pueden ser debidamente adquiridos, que se encuentra, y la notificación de lamisma manera como se esperaba con la memoria en el dispositivo.

La consistencia de Adquisición Determinar si la herramienta proporciona hashes consistentes en archivos que residen enel dispositivo para dos adquisiciones back-to-back

• Adquirir el contenido del dispositivo y crear un hash sobre la memoria, paraadquisiciones físicas, y más de los archivos individuales, para adquisicioneslógicas.

• Esperar que los hashes en los hashes de archivos individuales son coherentesentre las dos adquisiciones, pero inconsistente de los hashes de memoria.


26

Dispositivos aclarados Determinar si la herramienta puede adquirir cualquier información de usuario de ladispositivo o memoria periférica después de un restablecimiento completo se ha realizado.

• Lleve a cabo un restablecimiento completo en el dispositivo, adquirir suscontenidos, y buscar y mostrar nombres de archivo disponibles anteriormente ylos contenidos del archivo.

• Esperar que no hay archivos de usuario, excepto los que figuran en la tarjeta dememoria de la periferia, si están presentes, se pueden recuperar.

Pérdida de energía Determinar si la herramienta puede adquirir cualquier información del usuario desde eldispositivo después dese ha vaciado por completo del poder.

• Completamente drenar el dispositivo de poder por agotar la batería o quitar labatería durante la noche y luego reemplazar, adquirir contenidos del dispositivo,y buscar y mostrar nombres de archivo disponibles anteriormente y loscontenidos del archivo.

• Esperar que no hay archivos de usuario, excepto los que figuran en la tarjeta dememoria de la periferia, si están presentes, se pueden recuperar.

Un conjunto distinto de escenarios fue desarrollado para herramientas forenses SIM. Los escenarios SIM difieren delos escenarios de teléfono en varias maneras. SIMs son dispositivos altamente estandarizados con interfacesrelativamente uniformes, comportamiento y contenido. Todas las herramientas SIM Apoyo en general cualquierSIM para la adquisición a través de un lector externo. Por lo tanto, el énfasis en estos escenarios es el de cargar lamemoria de la tarjeta SIM con tipos específicos de información para la recuperación, en lugar de la memoria delteléfono. Una vez que un escenario se completa utilizando un teléfono GSM adecuado o programa de gestión deSIM, la tarjeta SIM puede ser procesada por cada una de las herramientas de SIM en sucesión. Tabla 8 ofrece unavisión general de los escenarios SIM, incluyendo su propósito, el método de ejecución y resultados esperados.

Tabla 8: Escenarios SIM

Guión Descripción

Datos básicos Determinar si la herramienta puede recuperar abonado (es decir, IMSI, ICCID, SPN, y los

archivos elementales PT), PIM (es decir, el archivo de primaria ADN), llamada (es decir,

LND

archivo elemental) y SMS mensaje de información relacionada con la tarjeta SIM,

incluyendo entradas eliminadas, y si todos los datos están correctamente decodificados y

mostrados.• Rellenar la tarjeta SIM con la conocida PIM, llamadas y mensajes SMS

información relacionada que pueda ser verificada después de la adquisición, yluego retire la tarjeta SIM para la adquisición y análisis.

• Esperar que toda la información que reside en el SIM puede ser adquirida yinformó con éxito.

Datos de Ubicación Determinar si la herramienta puede recuperar la información relacionada con la localización(es decir,LOCI, LOCIGPRS, y los archivos elementales FPLMN) en la tarjeta SIM y si todos losdatos se decodifican correctamente y se muestran. La información de ubicación puedeindicar que el dispositivo se utilizó por última vez para un servicio en particular y de otrasredes que podría haber encontrado.

• Registro los datos relacionados con la ubicación mantenidos por la red en latarjeta SIM mediante la realización de operaciones de voz y datos en ubicacionesconocidas, a continuación, quitar la tarjeta SIM para la adquisición y el análisis.

• Esperar que toda la información relacionada con la localización puede seradquirida y informó con éxito.


27

Guión Descripción

EMS Data Determinar si la herramienta puede recuperar mensajes EMS más de 160 caracteresde longitud y el contenido no textual que contiene, y si todos los datos son decodificadosadecuadamente y se muestran los mensajes activos y eliminado. Mensajes EMS puedentransmitir imágenes y sonidos, así como texto con formato, como una serie de mensajes SMSconcatenados.

• Rellenar la tarjeta SIM con el contenido ccsme conocido que puede ser verificadadespués de la adquisición, a continuación, quitar la tarjeta SIM para la adquisicióny el análisis.

• Esperar que los mensajes EMS pueden ser adquiridos y reportados conéxito.

Relaciones Data Language Determinar si la herramienta puede recuperar los mensajes SMS y datos PIM de la SIM queesté en un idioma extranjero, y si todos los datos están correctamente decodificado y semuestra.

• Rellenar la tarjeta SIM con SMS conocidas y contenido PIM que pueden serverificados después de la adquisición, a continuación, quitar la tarjeta SIM para laadquisición y el análisis.

• Esperar que los datos de lengua extranjera pueden ser adquiridos y reportados con

éxito.

Los capítulos siguientes proporcionan una breve discusión sobre las herramientas previamente tratados en NISTIR7250 - Teléfono celular forenses Herramientas: una visión general y análisisy una sinopsis detallada sobre lasherramientas que antes no cubiertos, así como los que han sido objeto de cambios significativos. Un resumen de losresultados de la aplicación de los escenarios anteriores para los dispositivos de destino determina el grado en que unaherramienta dada cumple con las expectativas enumerados. La sinopsis herramienta se centra en varias áreasfuncionales principales: adquisición, búsqueda, biblioteca de gráficos e informes, así como otros útilescaracterísticas tales como el etiquetado descubrieron pruebas con un marcador.

Los resultados del escenario para cada herramienta se pesan en contra de las expectativas predefinidos definidosanteriormente en la Tabla 7 y la Tabla 8, y se les asigna una clasificación. La entrada "Conoce" indica que elsoftware cumple con las expectativas del escenario para el dispositivo en cuestión. Dado que los escenarios estánorientados de adquisición, este ranking generalmente significa que todos los datos identificados se recuperaron conéxito. Una advertencia es que algunos teléfonos carecen de la capacidad para manejar ciertos datos prescritos envirtud de un escenario, en cuyo caso la clasificación se aplica sólo al subconjunto relevante. Del mismo modo, laentrada "Abajo" indica que el software no llegó a satisfacer plenamente las expectativas, mientras que "Por encima"indica que el programa superó las expectativas.

Una clasificación de "abajo" es a menudo consecuencia de una herramienta de realización de una adquisición lógicay no poder recuperar los datos eliminados, lo cual es comprensible. Sin embargo, la clasificación también puede serdebido a los datos activos colocados en el dispositivo no está recuperado con éxito, lo que es más de unapreocupación. Una clasificación "encima" es típicamente un resultado asociado con las características de undispositivo, tales como la función de reinicio no eliminar completamente los datos y dejando restos para larecuperación por la herramienta. Clasificación de "arriba" sólo deben presentarse con los dos últimos escenarios deteléfono: Dispositivos borra y pérdida de potencia. La entrada de "Miss" indica que el software sin éxito, reunió lasexpectativas, destacando una zona potencial de mejora. Por último, la entrada "ND" indica que un escenarioparticular no era aplicable al dispositivo.


28

Sinopsis del apoderamiento DeviceDevice Seizure versión 1.15 es capaz de adquirir información de Pocket PC, Palm OS y dispositivos BlackBerry,incluyendo aquellos con capacidades móviles, tarjetas SIM y tanto GSM y los teléfonos celulares no GSM.Confiscación de dispositivos permite al examinador para conectar un dispositivo a través de una conexión serie oUSB. Los examinadores deben tener los cables y cunas correctas para garantizar la conectividad, software desincronización compatible, y una fuente de batería de reserva disponible. Software de sincronización (porejemplo, Microsoft ActiveSync, Palm HotSync, el software BlackBerry Desktop Manager) permite a losexaminadores para crear una asociación entre los invitados la estación de trabajo forense y el dispositivo bajoinvestigación.

Pocket PC TeléfonosDevice Seizure adquiere un PC dispositivo de teléfono móvil de bolsillo se hace a través de Device Seizure con laayuda del protocolo de comunicación ActiveSync de Microsoft. Un examinador crea una conexión ActiveSynccomo un "invitado" en el dispositivo. La cuenta de "huésped" es esencial para que se anule cualquier sincronizaciónde contenido entre la estación de trabajo y el dispositivo antes de la adquisición. Antes de que comience laadquisición, la incautación de dispositivos coloca una pequeñadll archivo de programa en el dispositivo en elprimer bloque de la memoria disponible, que luego se retira al final de la adquisición. Paraben indicó que utiliza elDevice Seizure dll para acceder a regiones no asignados de memoria en el dispositivo.

Para obtener la información restante, la incautación de dispositivos utiliza la API remota (RAPI) 6, que proporcionaun conjunto de funciones para aplicaciones de escritorio para comunicarse y acceder a información sobreplataformas Windows CE. Estas funciones son accesibles tras un dispositivo Windows CE está conectado a través deActiveSync. Funciones RAPI están disponibles para los siguientes:

• Información del sistema de dispositivos - incluye la versión, memoria (total, usada ydisponible), y la recuperación de estado de energía

• Archivo y directoriodirección - permite la recuperación de la información de la ruta, encontrar archivosespecíficos, los permisos, el tiempo de la creación, etc

• Acceso a base de datos de la propiedad - permite que la información a serrecogidadeinformación de base de datos en el dispositivo

• Registro demanipulación - permite que elRegistro a consultar (es decir, las claves y el valor asociado)

Si el dispositivo está protegido con contraseña, la contraseña correcta debe ser suministrado antes de que comiencela etapa de adquisición, como se ilustra a continuación en la Figura 4. Si la contraseña correcta no es conocido oproporcionado, la conectividad no se puede establecer y el contenido del dispositivo no puede ser adquirida.

5Información adicional sobre los productos del paraben se puede encontrar en:http://www.paraben-forensics.com

6Información adicional sobre RAPI se puede encontrar en:http://www.cegadgets.com/artcerapi.htm


http://www.paraben-forensics.com

29

Figura 4: Password Prompt(Pocket PC)

Durante las etapas iniciales de la adquisición, el examinador se le pide con cuatro opciones de datos para adquirir talcomo se ilustra a continuación.

Palm OS Móviles

Figura 5: Selección de Adquisición (Pocket PC)

La adquisición de un dispositivo Palm OS con capacidades de telefonía celular implica el examinador forense quesale todas las aplicaciones de HotSync activos y colocar el dispositivo en modo de consola. Modo de consola seutiliza para la adquisición física del dispositivo.7 Para poner el dispositivo Palm OS en modo consola, el examinadortiene que ir a la ventana de búsqueda (pulse la lupa por el área de escritura de Graffiti), entran a través de la interfazde Graffiti los siguientes símbolos : minúscula L cursiva, seguido de dos puntos (resultados en un período), seguidode escribir un "2" en el área de los números. Para la adquisición de datos de un palmOne Treo 600, la técnicautilizada es ligeramente diferente. En lugar de entrar en modo de consola a través de

7Información adicional sobre el modo de consola se puede encontrar en:http://www.ee.ryerson.ca/ ~ elf / visor / dot-shortcuts.html


http://www.cegadgets.com/artcerapi.htm

30

el área de escritura de Graffiti, el acceso directo se utiliza se debe introducir con el teclado QWERTY. Modo consolaes específico del dispositivo y la secuencia correcta de caracteres de Graffiti se puede encontrar en el sitio Web delfabricante. Si el dispositivo está protegido con contraseña, la contraseña correcta debe ser introducido antes de laadquisición. Durante las etapas iniciales de la adquisición es el examinador le pida a las dos opciones de elementosde datos a adquirir tal como se ilustra en la Figura 6.

Los dispositivosBlackBerry

Figura 6: Selección de Adquisición (Palm OS)

La adquisición de un dispositivo BlackBerry se realiza a través de Device Seizure sin la ayuda de protocolos desincronización o BlackBerry Desktop Manager. BlackBerry Desktop Manager no permite a los usuarios cargaraplicaciones, realizar copias de seguridad y restauraciones, y la sincronización de los datos definidos (por ejemplo, lalibreta de direcciones, calendario, bloc de notas, tareas). La figura 7 muestra un cuadro de diálogo presentado alexaminador antes de que comience la adquisición, si el dispositivo BlackBerry está protegido por contraseña. Si lacontraseña no es correcta alimentación dentro de los 10 intentos de todos los datos perdidos desde el dispositivo y elsistema operativo BlackBerry tiene que ser reinstalado.


http://www.ee.ryerson.ca/

31

Figura 7: Password Prompt (BlackBerry)

Después de seleccionar el dispositivo está el examinador le indique, con las siguientes opciones que se muestran enla Figura 8 de la adquisición de cualquiera de las bases de datos individuales, la memoria, o ambas cosas.

Figura 8: Selección de Adquisición (BlackBerry)

Si Adquirir las bases de datos y la memoria son ambos seleccionados, la memoria se adquiere primero y luego seadquieren las bases de datos individuales. Antes de que comience la adquisición, el examinador se le da la opción dehacer una pausa entre la memoria y adquisiciones de base de datos como se ilustra en la Figura 9.


32

Móviles

Figura 9: BlackBerry Adquisición

Device Seizure versión 1.1 es capaz de adquirir información de los teléfonos celulares de varios fabricantes, como

Motorola, Nokia, Samsung, Siemens y Sony Ericsson.8 La marca, el modelo y el tipo de teléfono que determinar lacantidad de datos, en su caso, Device Seizure pueden adquirir. Por lo general, los datos siguientes se pueden adquiriren la mayoría de los dispositivos móviles: hicieron llamadas telefónicas, llamadas telefónicas recibidas, mensajes detexto y agendas telefónicas. Además, la incautación de dispositivos puede adquirir el siguiente en algunos modeloscompatibles: Listas de tareas, calendario, duración de llamadas, información de llamadas, historial de llamadas,información de contacto, número de teléfono de la célula, Galería de imágenes (por ejemplo, Fondos, teléfono concámara Images), Anillo Tones, recordatorios, notas, notas de voz, eventos, perfiles, juegos, logos, configuracionesWAP, WAP, GPRS Marcadores puntos de acceso, los archivos Java y un volcado de memoria completa. La amplitudy profundidad de la información adquirida depende de la marca, el modelo, yred en la que opera el teléfono. Device Seizure también permite la adquisición independiente deTarjetas SIM con el lector de tarjetas SIM que viene incluido con la compra de Paraben deCaja de herramientas. La caja de herramientas proporciona todos los cables necesarios para crear la conectividadentre los modelos de teléfonos compatibles y la estación de trabajo forense.

Etapa de adquisiciónExisten dos métodos para iniciar la adquisición de datos desde el dispositivo o la tarjeta SIM. La adquisición puedeser aplicado a través de la barra de herramientas con el icono Adquirir oa través del menú Herramientas yseleccionando Adquirir imagen. Cualquiera de estas opciones se inicia el proceso de adquisición. Con el proceso deadquisición, tanto de archivos e imágenes de memoria se pueden adquirir. De forma predeterminada, la herramientade marca ambos tipos de datos que se deben adquirir. Una vez que se selecciona el proceso de adquisición, elasistente de adquisición se ilustra a continuación en la Figura 10 guía al examinador a través del proceso.

8Información adicional sobre los modelos de teléfonos soportados puede encontrarse en:http://www.paraben-forensics.com/cell_models.html


33

Figura 10: Asistente de obtención

Después de hacer clic en Siguiente en el Asistente para la adquisición, el examinador se le pide que seleccione eltipo de dispositivo para la adquisición, como se ilustra a continuación.

Figura 11: Selección de Adquisición

Figura 12 a continuación contiene un ejemplo captura de pantalla del apoderamiento de dispositivo durante laadquisición de unaDispositivo Pocket PC, mostrando los diversos campos proporcionados por la interfaz.


http://www.paraben-forensics.com/cell_models.html

34

Figura 12: Captura de pantalla de Adquisición (Pocket PC)

Device Seizure informa lo siguiente para cada archivo individual adquirido: Ruta del archivo, nombre de archivo,tipo de archivo, fechas de creación y modificación, atributos de archivo, tamaño del archivo, estado y un hash MD5del archivo. Validación de hash de archivo tomadas antes y después de la adquisición se puede usar para detectar silos archivos han sido modificados durante la fase de adquisición.


35

Funcionalidad de búsquedaServicio de búsqueda de dispositivos de apoderamiento permite a los examinadores para consultar los archivos decontenido. La función de búsqueda busca en el contenido de los archivos e informes de todas las instancias de unacadena, presente. Comodines y expresiones regulares son compatibles proveer examinadores con la posibilidad dereducir el número de declaraciones de falsos positivos. La captura de pantalla se muestra a continuación en la Figura13 ilustra un ejemplo de los resultados producidos por la cadena "cuadrangular".

Figura 13: Archivo de contenido Cadena de búsqueda (Pocket PC)

Además, la ventana de búsqueda proporciona una salida de la memoria relacionada con la cadena de búsquedaproporcionado por el examinador. Esto permite a los examinadores para desplazarse a través de las seccionesde la memoria y marcar una valiosa información para la presentación de informes que se utilizará en lasactuaciones judiciales, disciplinarias o de otro tipo.


36

Graphics LibraryLa biblioteca de gráficos permite a los examinadores examinar la colección de archivos de gráficos presentes en eldispositivo. Archivos gráficos eliminados no se muestran en la biblioteca. Para mostrar todos los archivos presentesen el dispositivo de gráficos, los examinadores deben seleccionar la función "Clasificador de relleno" que seencuentra debajo del menú "Herramientas". El "Clasificador" selecciona los archivos de gráficos basados en laextensión de archivo de firma archivo. Si existen archivos gráficos eliminados, deben ser identificados a través de laventana de la memoria mediante la realización de una cadena de búsqueda para identificar los restos de archivos.Sin embargo, la recuperación de una imagen completa es difícil, yasu contenido pueden ser comprimidos por el sistema de ficheros o no pueden residir en ubicaciones de memoriacontiguas, o pueden tener algunas secciones irrecuperables. La recuperación también requiere el conocimiento delas estructuras de datos asociadas a reconstruir las partes juntas con éxito. La figura 14 muestra una captura depantalla de imágenes adquiridas desde un dispositivo Nokia 6610i.

Marcar

Figura 14: Graphics Library

Durante la investigación, los examinadores forenses a menudo tienen una idea del tipo de información por losque están buscando, en base a las circunstancias del incidente y la información ya obtenida. Permite marcar losexaminadores forenses para marcar los elementos que son relevantes para la


37

investigación. Esta capacidad proporciona el examinador de los medios para generar informes de casos específicosque contienen información significativa que se encuentre durante el examen, en un formato adecuado para lapresentación. Se pueden agregar favoritos por múltiples piezas de información que se encuentra, y cada archivopuede exportarse para su posterior análisis, si es necesario. Ilustrado en la Figura 15 a continuación es un ejemplo dediversos marcadores creados después de la adquisición. Como se mencionó anteriormente, los archivos encontradosy marcado se pueden exportar a la estación de trabajo y se representan con una aplicación adecuada para el tipo dearchivo en cuestión.

Herramientasadicionales

Figura 15: Creación Bookmark(Nokia 6610i)

Exportar todos los archivos: Examinadorespuede exportar todos los archivos reportados después de la etapa deadquisición se ha completado. Cuando se exportan los archivos, se crea una carpeta, basado en el nombre dearchivo caso, que contiene dos subcarpetas: uno para cada uno RAM y ROM. Dependiendo del tipo de archivo, elcontenido puede ser vistos con una aplicación de escritorio asociado o con un emulador de dispositivo específico.

Validar códigos hash:La opción Validar códigos hash se puede ejecutar después de una exitosa adquisición y estádiseñado para informar de los archivos que han sido modificados durante el proceso de adquisición.


38

Figura 16: Validar códigos hash

Comparer caso: Incautación dispositivo tiene una función incorporada que compara la adquisición de caso-archivos. Para utilizar la función de comparación de casos y los archivos en cuestión son importados a través delmenú Herramientas y escaneadas automáticamente las diferencias. Los resultados se muestran en un cuadro dediálogo que el nombre del archivo, el resultado de la comparación, y el tamaño de cada caso (. Pds) del archivo.Haga doble clic en un archivo en cuestión proporciona una vista hexagonal de lado a lado de los dos archivos conlas diferencias de relieve. Convulsiones Dispositivo Caso Comparer se ilustra a continuación en la Figura 17.

Figura 17: Comparer Case

Device Seizure Visor de archivos:Cada archivo adquirida se puede ver tanto en modo texto o hexadecimal, lo quelos examinadores para inspeccionar el contenido de todos los archivos presentes. Los examinadores deben utilizaruna de las siguientes opciones para entregas otros tipos de archivos: exportar el archivo y poner en marcha unaaplicación de Windows que corresponde a la extensión de archivo (Ejecutar aplicación de archivo), o, para losdispositivos Palm OS solamente, ver el archivo a través de la ACTITUD.


39

Generación de informesConfiscación de dispositivos proporciona una interfaz de usuario para la generación de informes que permite laentrada de los examinadores y la organización de la información específica para cada caso. Cada caja contiene unnúmero de identificación y otra información específica a la investigación con fines de información, como se ilustraen la Figura 18 a continuación.

Una vez que se ha generado el informe, se produce una. HTML archivo está disponible para el examinador, queincluye archivos de favoritos, archivos totales adquiridos, el tiempo de adquisición, la información deldispositivo. Si los archivos fueron modificados durante la fase de adquisición, en el informe los identifica.

Escenario Resultados - PDAs

Figura 18: Generación de informes

Tabla 9 resume los resultados de la aplicación de los escenarios enumerados en la parte izquierda de la tabla paralos dispositivos a través de la parte superior. Más información se puede encontrar en el Apéndice A: DeviceSeizure Resultados.

Tabla 9: Matriz de Resultados

Guión

Dispositivo

BlackBerry7750

BlackBerry7780

Kyocera7135

MotorolaMPX220

Samsungi700 Treo 600

Conectividad y

RecuperaciónSatisfacer Satisfacer Satisfacer Satisfacer Satisfacer Satisfacer

Las aplicaciones PIM Satisfacer Satisfacer Satisfacer Perder Satisfacer Satisfacer

Marcadas / Recibidas Teléfono

LlamadasSatisfacer Satisfacer Satisfacer Perder Satisfacer Satisfacer

Mensajería SMS / MMS Satisfacer Satisfacer Abajo Abajo Abajo Satisfacer

Mensajería Internet Satisfacer Satisfacer Abajo Abajo Abajo Abajo


40

Guión

Dispositivo

BlackBerry7750

BlackBerry7780

Kyocera7135

MotorolaMPX220

Samsungi700

Treo 600

Aplicaciones Web NA Abajo Abajo Abajo Abajo Abajo

Formatos de archivo de texto Abajo Abajo Satisfacer Abajo Abajo Satisfacer

Formatos de archivo de gráficos Perder Perder Perder Abajo Abajo Perder

Archivo ComprimidoFormatos de archivo

Perder Perder Perder Satisfacer Satisfacer Abajo

Archivos mal llamada Perder Perder Satisfacer Satisfacer Satisfacer Satisfacer

Memoria periféricaTarjetas

NA NA Perder Abajo Abajo Perder

La consistencia de Adquisición Satisfacer Satisfacer Abajo Satisfacer Abajo Abajo

Dispositivos aclarados Conocé / Above Conocé / Above Satisfacer Satisfacer Satisfacer Satisfacer

Pérdida de energía Arriba Arriba Satisfacer Arriba Satisfacer Satisfacer

Escenario Resultados - CelularesLa Tabla 10 resume los resultados de la aplicación de los escenarios enumerados en la parte izquierda de la tablapara los dispositivos a través de la parte superior. Más información se puede encontrar en el Apéndice B: Device

Seizure Resultados.


Guión

Dispositivos

Audi

ovox

8910

Eric

sson

T68i

LG 4

015

Mot

orol

aC3

33

Mot

orol

av6

6

Mot

orol

av3

00

Noki

a33

90

Noki

a66

10i

Sany

oPM

8200

Conectividad yRecuperación

Satisfacer

Satisfacer

Satisfacer

Satisfacer

Satisfacer

Satisfacer

Satisfacer

Satisfacer

Satisfacer

Las aplicaciones PIM Satisfacer

Abajo Abajo Satisfacer

Abajo Abajo Abajo Abajo SatisfacerMarcadas / Recibidas Teléfono

LlamadasSatisfacer

Abajo Perder Abajo Abajo Abajo Abajo Abajo Satisfacer

Mensajería SMS / MMS Abajo Abajo Abajo Satisfacer

Abajo Satisfacer

Abajo Abajo SatisfacerMensajería Internet NA Perder NA NA NA Satisfac

erNA NA Perder

Aplicaciones Web Abajo Perder Perder NA NA Perder Perder Abajo Perder

Formatos de archivo de texto NA NA NA NA NA Perder NA Abajo NA

Formatos de archivo degráficos

Abajo Perder NA NA NA Satisfacer

NA Abajo Perder

Archivo Comprimido

Formatos de archivoNA NA NA NA NA NA NA Satisfac

erNA

Archivos mal llamada NA NA NA NA NA Perder NA Satisfacer

NA

Memoria periféricaTarjetas

NA NA NA NA NA NA NA NA NA

AdquisiciónConsistencia

Satisfacer

Satisfacer

Satisfacer

Satisfacer

Satisfacer

Satisfacer

Satisfacer

Satisfacer

Satisfacer

Dispositivos aclarados NA Satisfacer

Arriba Arriba Arriba Arriba NA NA Arriba

Pérdida de energía Arriba Arriba Arriba Arriba Arriba Arriba Arriba Arriba Arriba


41

Escenario Resultados - Adquisición tarjeta SIMConfiscación de dispositivos permite examinadores la capacidad de adquirir datos directamente desde una tarjetaSIM con el uso de RS-232 Lector de tarjetas SIM de paraben. Los pasos seguidos de adquisición para adquirir datosdirectamente desde la tarjeta SIM son los mismos que la adquisición de datos de un teléfono, excepto para laselección de tarjeta SIM GSM. Los campos de datos adquiridos (por ejemplo, números de marcación abreviada,números de marcación fija, los últimos números marcados, Servicio SIM marcar números, mensajes cortos)dependen de la tarjeta SIM yproveedor de servicios. La funcionalidad de búsqueda, instalaciones para marcar y generación de informesfuncionan en los datos obtenidos de una forma similar a la adquisición de teléfonos, descritas anteriormente.

La Tabla 11 resume los resultados de la aplicación de los escenarios enumerados en la parte izquierda de la tablapara las tarjetas SIM en la parte superior. Más información se puede encontrar en el Apéndice G: SIM Incautación- SIM externos Resultados. SIMs se adquiere y se reportó el uso de parte de apoderamiento SIM del paraben delapoderamiento de dispositivos.

Tabla 11: SIMTarjeta Resultados Matrix - Lector externo

GuiónSIM

5343 8778 1144

Datos básicos Abajo Abajo Abajo

Datos de Ubicación Satisfacer

Satisfacer

SatisfacerEMS Data Satisface

rSatisfacer

SatisfacerRelaciones Data Language Satisface

rSatisfacer

Satisfacer


42

Sinopsis de Pilot-linkEl piloto link9 software puede ser utilizado para obtener tanto la ROM y la RAM de dispositivos Palm OS (porejemplo, Palm, Handspring, Handera, TRGPro, Sony) sobre una conexión en serie. Los datos se pueden importar enel emulador de Palm OS (POSE), lo que permite una vista virtual de los datos contenidos en el dispositivo o losarchivos individuales se pueden ver con un editor hexadecimal ASCII estándar oa través de una aplicación forensecompatible. Además, los datos creados a partir de pilot-link se pueden importar a otras aplicaciones forensescompatibles. Una vez que el software está instalado y configurado, las comunicaciones entre la estación de trabajoy el dispositivo puede comenzar. Piloto de enlace utiliza el protocolo de HotSync para adquirir datos desde eldispositivo. RAM y ROM se vierten desde el dispositivo con los siguientes comandos: pi-pi-getrom y getram.Archivos de base de datos individuales se pueden adquirir con el piloto al mando-xfer-b. Piloto-link carece de unmotor de búsqueda integrado, las instalaciones de generación de informes, y una biblioteca de gráficos. Por lo tanto,las herramientas de terceras partes deben ser utilizados para realizar estas funciones. La Tabla 12 resume losresultados de la aplicación de los escenarios enumerados en la parte izquierda de la tabla para los dispositivos através de la parte superior. Información adicional se puede encontrar enNISTIR 7250 Celular Teléfono forensesHerramientas: una visión general y análisis.


Guión

Dispositivo

Kyocera7135

Treo 600


Satisfacer Abajo

Las aplicaciones PIM Satisfacer Satisfacer


Satisfacer Abajo

Mensajería SMS / MMS Satisfacer Abajo

Mensajería Internet Satisfacer Abajo

Aplicaciones Web Abajo Abajo

Formatos de archivo de texto Satisfacer Satisfacer

Formatos de archivo de gráficos Abajo Abajo


Perder Perder

Archivos mal llamada Satisfacer Satisfacer

Tarjetas de memoria periféricos Perder Perder

La consistencia de Adquisición Abajo Abajo

Dispositivos aclarados Satisfacer Satisfacer

Pérdida de energía Satisfacer Satisfacer

9Información adicional sobre pilot-link se puede encontrar en:http://www.pilot-link.org


43

Sinopsis de GSM. XRY

De Micro Systemation GSM. XRY versión 3.0 puede obtener información de varios fabricantes de teléfonoscelulares GSM (es decir, Ericsson, Motorola, Nokia, Siemens) 0.10 La unidad. XRY proporciona la capacidad derealizar adquisiciones a través de cable, IrDA (infrarrojos), o interfaces de Bluetooth. La. Unidad XRY GSMproporciona todos los cables necesarios para crear la conectividad entre los modelos de teléfonos compatibles y laestación de trabajo forense.

Teléfonos compatiblesLa marca, el modelo y el tipo de teléfono que determinan qué datos GSM. XRY puede adquirir. El sitio web deMicro Systemation proporciona un enlace a una versión de copia electrónica de la lista manual de la marca con elapoyo y los modelos de los teléfonos celulares. GSM. XRY está dirigido a los dispositivos GSM y CDMA,incluyendoDispositivos 3G. Teléfonos TDMA no se admiten. . GSM XRY puede adquirir la siguiente información de GSM(Sistema Global para Comunicaciones Móviles) Teléfonos: Contactos, Calendario, Llamadas, SMS, Fotos, Audio,Archivos, Notas, MMS, vídeo, información de la red y las tareas. Cada tipo de datos adquiridos en la barra demenú.

Etapa de adquisiciónExisten dos métodos para obtener datos de los teléfonos celulares. La adquisición puede ser promulgada a través dela barra de herramientas, utilizando el icono de extracción de datos, o mediante el menú Archivo, seleccioneObtener información a partir del dispositivo. Cualquiera de estas opciones se inicia el proceso de adquisición. Conel proceso de adquisición, tanto de la memoria interna del teléfono y la información básica de la tarjeta SIM (porejemplo, entradas de la agenda, mensajes SMS) se adquieren. Una vez que se selecciona el proceso de adquisición,el asistente de adquisición se ilustra a continuación en la Figura 19 aparece para guiar el examinador a través delproceso.

10Información adicional sobre los modelos de teléfonos soportados puede encontrarse en:www.msab.com


http://www.pilot-link.org

44


Tras la ejecución del asistente de adquisición, el examinador selecciona el tipo de adquisición: el dispositivo móvilo en la tarjeta SIM / USIM. Asumiendo que la selección de un dispositivo de teléfono móvil, el examinador sepresenta con tres opciones de interfaz para crear una conexión con el teléfono celular. Micro Systemationproporciona recomendaciones específicas (por ejemplo, cable, infrarrojo o Bluetooth) para cada marca y modelode los teléfonos compatibles.

Figura 20: Selección de la interfaz


www.msab.com

45

Una vez establecida una conexión con éxito, el dispositivo se identifica y la adquisición de que comiencecomo se ilustra a continuación en la Figura 21.

Figura 21: Identificación del dispositivo

Durante la fase de adquisición de GSM. XRY mantiene un registro de proceso de la situación de lainformación extraída del dispositivo, como se ilustra en la Figura 22.

Figura 22: Adquisición Conectarse


46

Funcionalidad de búsquedaServicio de búsqueda GSM. De XRY permite examinadores para consultar los datos obtenidos para el contenido. Lafunción de búsqueda escanea el contenido de los archivos e informes de todas las instancias de una cadena, presente.La captura de pantalla se muestra en la Figura 23 ilustra un ejemplo de las opciones y los resultados de la ventana debúsqueda

producido por el "mensaje SMS" string. Buscar éxitos que se encuentran se resaltan en color rosa.

Figura 23: Archivo de contenido Cadena debúsqueda

Graphics LibraryLa biblioteca de gráficos permite a los examinadores examinar la colección de archivos de gráficos presentes en eldispositivo. Cada imagen actual se puede ver internamente con la aplicación de ventana, lo que los examinadorespara agrandar las imágenes si es necesario. Además, las imágenes recogidas se pueden exportar e inspeccionadoscon una herramienta de terceros, si es necesario. La figura 24 muestra una captura de pantalla de imágenesadquiridas desde un Nokia 6610i.


47

Generación de informes

Figura 24: Graphics Library

GSM. XRY permite informes personalizados a ser creados con la selección de datos predefinida, tal como se ilustraen la Figura 25. Instalaciones marcar no existen en GSM. XRY. Por lo tanto, los examinadores no pueden filtrar losdatos dentro de las categorías seleccionadas. Además, los informes de forma predeterminada, no incrustar una vistailustrativa de archivos gráficos adquiridos, sólo los nombres de archivo, tamaño del archivo y metadatos estánincluidos. Los datos gráficos se incluye en una carpeta separada cuando se exporta el informe.


48


Como se mencionó anteriormente, los inspectores tienen la capacidad de incluir todos los datos adquiridos desde elteléfono celular o para elegir una categoría particular de información. Ilustra a continuación en la Figura 26 y laFigura 27 son fotos de un informe generado al momento de elegir, respectivamente, la vista Información general yuna vista Pictures.


49

Figura 26: Reporte de Extracto (Información General)


50

Figura 27: Reporte de Extracto (mensajes de texto)

Escenario Resultados - CelularesLa Tabla 13 resume los resultados de la aplicación de los escenarios enumerados en la parte izquierda de la tablapara los dispositivos a través de la parte superior. Más información se puede encontrar en el Apéndice C:. GSMXRY Resultados.


Guión

Dispositivo

EricssonT68i

MotorolaV66

MotorolaV300

Nokia6610i

Nokia6200

Nokia7610

Conectividad y Recuperación Satisfacer Satisfacer Satisfacer Satisfacer Satisfacer Satisfacer

Las aplicaciones PIM Abajo Abajo Abajo Abajo Abajo Abajo


51

Guión

Dispositivo

EricssonT68i

MotorolaV66

MotorolaV300

Nokia6610i

Nokia6200

Nokia7610


Abajo Abajo Abajo Abajo Abajo Perder

Mensajería SMS / MMS Abajo Abajo Abajo Abajo Abajo Perder

Mensajería Internet Perder NA Abajo NA NA Perder

Aplicaciones Web Perder NA Perder Abajo Perder Perder

Formatos de archivo de texto NA NA Perder Abajo Abajo Abajo

Formatos de archivo de gráficos Perder NA Perder Abajo Abajo Abajo


NA NA NA Satisfacer Satisfacer Satisfacer

Archivos mal llamada NA NA Perder Satisfacer Satisfacer Satisfacer

Tarjetas de memoria periféricos NA NA NA NA NA Abajo

La consistencia de Adquisición NA NA NA NA NA NA

Dispositivos aclarados Satisfacer Satisfacer Arriba NA NA Satisfacer

Pérdida de energía Arriba Arriba Arriba Arriba Arriba Arriba

Escenario Resultados - Adquisición tarjeta SIMGSM. XRY versión 2.4 a 2.5 proporcionan los examinadores de la capacidad de adquirir datos directamente desdela tarjeta SIM usando el lector CardMan por OMNIKEY. Los pasos seguidos de adquisición para adquirir datosdirectamente desde la tarjeta SIM son los mismos que la adquisición de datos de un teléfono, excepto para laselección de tarjeta SIM / USIM de la interfaz de usuario en lugar del teléfono móvil. Los campos de datosadquiridos (por ejemplo, Información general (es decir, ICCID, IMSI, Fase), Contactos, Llamadas, Mensajes)dependen de la tarjeta SIM y el proveedor de servicios. Las instalaciones de motores de búsqueda y el Informefuncionan de manera similar a las adquisiciones de teléfonos, descritas anteriormente.

La Tabla 14 resume los resultados de la aplicación de los escenarios enumerados en la parte izquierda de la tablapara las tarjetas SIM en la parte superior. Más información se puede encontrar en el Apéndice H:. GSM XRY -externos SIM Resultados.


GuiónSIM

5343 8778 1144

Datos básicos Satisfacer

Satisfacer

SatisfacerDatos de Ubicación Abajo Abajo Abajo

EMS Data Satisfacer

Satisfacer


rSatisfacer

Satisfacer


52

Sinopsis de Oxygen Phone ManagerOxygen Phone Manager (OPM) 11 es una herramienta diseñada para gestionar la información en un teléfonocelular, incluyendo contactos, calendario, mensajes SMS, lista de tareas pendientes, registros y tonos de timbre.El software está diseñado para soportar la mayoría de los teléfonos Nokia. Una versión de Symbian OS tambiénestá disponible. Oxygen Phone Manager - Versión forense es una adaptación de la herramienta de gestión deteléfono quesuprime el cambio de datos en el teléfono, pero permite que los datos que se deben adquirir y exportar en variosformatos compatibles lógicamente. La herramienta está diseñada para adquirir contactos de la agenda (incluyendofotos), listas de llamadas (es decir, los últimos números marcados, llamadas perdidas y recibidas), mensajes SMS,imágenes, logos, tonos, perfiles, listas de tareas, mensajes MMS (formatos compatibles son texto plano, HTML,JPEG, GIF, GIF animado, PNG, TIFF, BMP, MIDI, WAV, y RT), aplicaciones Java, juegos , galería y listas dereproducción. OPM no proporciona capacidades de búsqueda. Sin embargo, una estructura de árbol de los datosadquiridos se construye y se rellena con los datos seleccionados, proporcionando examinadores con la capacidad denavegar por los archivos adquiridos y ver las imágenes gráficas. Todos los artículos se pueden guardar o exportar enformatos comunes y búsquedas utilizando una herramienta de terceros. Generación de informes internos no seproporciona. Los datos extraídos desde el teléfono a través de la interfaz de la herramienta deben ser exportadosmanualmente y se procesaron a través de otros medios, tales como un procesador de textos. Los datos se puedenguardar en varios formatos diferentes (por ejemplo,. Rtf,. Html,. Csv, etc) para la exportación. Ciertos datos, comoperfiles, sólo se pueden guardar en el formato de datos propietario OPM. La Tabla 15 resume los resultados de laaplicación de los escenarios enumerados en la parte izquierda de la tabla para los dispositivos a través de la partesuperior. Información adicional se puede encontrar en NISTIR 7250 teléfono celular forenses Herramientas: unavisión general y

Análisis.


Guión

Dispositivo

Nokia3390

Nokia6610i

Nokia6200

Nokia7610

Conectividad y Recuperación Satisfacer Satisfacer Satisfacer Satisfacer

Las aplicaciones PIM Abajo Abajo Abajo Abajo


Abajo Abajo Abajo Perder

Mensajería SMS / MMS Abajo Abajo Abajo Abajo

Mensajería Internet NA NA NA Abajo

Aplicaciones Web Perder Perder Perder Perder

Formatos de archivo de texto NA Abajo Abajo Perder

Formatos de archivo de gráficos NA Abajo Abajo Abajo


NA Satisfacer Satisfacer Perder

Archivos mal llamada NA Satisfacer Satisfacer Perder

Tarjetas de memoria periféricos NA NA NA Abajo

La consistencia de Adquisición NA NA NA NA

Dispositivos aclarados NA NA NA Satisfacer

Pérdida de energía Arriba Arriba Arriba Arriba

11Información adicional se puede encontrar en:http://www.opm-2.com/forensic


53

Sinopsis de MOBILedit!

MOBILedit! Forense, la versión 2.0.0.10, es capaz de adquirir información de diversas GSM, CDMA, PCS ycelulares de los fabricantes de una variedad (es decir, Alcatel, Ericsson, General, LG, Motorola, Nokia, Panasonic,Philips, Samsung, Siemens, Sony Ericsson ) .12 Una variante no-forense del producto, llamado MOBILedit!,También existe. Este informe abarca solamente la versión forense, que por simplicidad se conoce comoMOBILedit!. El MOBILedit! aplicación proporciona la capacidad de realizar adquisiciones a través de cable, IrDA(infrarrojos), o interfaces de Bluetooth.

La información obtenida por MOBILedit! depende de la marca, el modelo, y la riqueza de las funciones delteléfono. Algunos campos de datos comunes adquiridos utilizando MOBILedit! son teléfono y la información delsuscriptor, Agenda, Agenda SIM, llamadas perdidas, los últimos números marcados, llamadas recibidas, Bandejade entrada, elementos, Borradores y archivos (por ejemplo, gráficos, fotos, tonos) enviados.

Motor de búsqueda de MOBILedit permite examinadores para realizar búsquedas de cadenas simplificados sólo encarpetas específicas. El motor de búsqueda no proporciona la capacidad de buscar a través de múltiples casos ovarias carpetas dentro de una caja o emitir patrones de expresión complejos. La biblioteca de gráficos permite a losexaminadores examinar la colección de archivos de gráficos presentes en el dispositivo. Cada imagen actual sepuede ver internamente con la aplicación de ventana que permite examinadores para agrandar las imágenes si esnecesario. Además, las imágenes recogidas se pueden exportar e inspeccionados con una herramienta de terceros, sies necesario. Versión 1.95 y superiores incorporar una instalación de generación de informes, lo que permite a losexaminadores elaboran informes internos dentro de la aplicación o para exportarlos en formato xml.

La Tabla 16 resume los resultados de la aplicación de los escenarios enumerados en la parte izquierda de la tablapara los dispositivos a través de la parte superior. Información adicional se puede encontrar en NISTIR 7250teléfono celular Herramientas forenses: una visión general y análisis.


Guión

Dispositivo

EricssonT68i

MotorolaC333

MotorolaV66

MotorolaV300

Nokia6610i

Conectividad y Recuperación Satisfacer Satisfacer Satisfacer Satisfacer Satisfacer

Las aplicaciones PIM Perder Abajo Abajo Abajo Abajo


Abajo Abajo Abajo Abajo Abajo

Mensajería SMS / MMS Abajo Perder Perder Abajo Abajo

Mensajería Internet Perder NA NA Abajo NA

Aplicaciones Web Perder NA NA Perder Perder

Formatos de archivo de texto NA NA NA Perder Abajo

Formatos de archivo de gráficos Perder NA NA Perder Abajo

12Información adicional sobre los modelos de teléfonos soportados puede encontrarse en:www.mobiledit.com


http://www.opm-2.com/forensic

54

Guión

Dispositivo

EricssonT68i

MotorolaC333

MotorolaV66

MotorolaV300

Nokia6610i


NA NA NA NA Satisfacer

Archivos mal llamada NA NA NA NA Satisfacer

Tarjetas de memoria periféricos NA NA NA NA NA

La consistencia de Adquisición NA NA NA NA NA

Dispositivos aclarados Satisfacer Arriba Satisfacer Arriba NA

Pérdida de energía Arriba Arriba Arriba Arriba Arriba

Adquisición SIM CardMOBILedit! Versión 2.0.0.10 forense y examinadores anterior da la capacidad de adquirir datos de la tarjeta SIMcon un PC / lector compatible con SC. Los pasos seguidos de adquisición para adquirir datos directamente desde latarjeta SIM son los mismos que la adquisición de datos de un teléfono, excepto para la selección de lectores detarjetas inteligentes en lugar de los teléfonos móviles. Los campos de datos adquiridos (es decir, la agenda SIM,los últimos números marcados, números de marcación fija, Bandeja de entrada, Elementos enviados, Borradores)depende en parte de laSIM y el proveedor de servicios. Las instalaciones de motores de búsqueda y el Informe funcionan de manera similara la de las adquisiciones de teléfonos, descritas anteriormente.



GuiónSIM

5343 8778 1144


Datos de Ubicación Perder Perder Perder

EMS Data Abajo Abajo Abajo

Relaciones Data Language Abajo Abajo Abajo

Sinopsis BitPim

Versión 0.9.10 BitPim puede adquirir información sobre todo de varios fabricantes de teléfonos celulares CDMA(por ejemplo, Audiovox, Samsung, Sanyo) .13 La aplicación BitPim proporciona la capacidad de realizaradquisiciones a través de una interfaz de cable. La marca, el modelo y el tipo de teléfono CDMA determinar quédatos BitPim puede adquirir. Algunos campos de datos comunes que BitPim recupera son: Agenda, Wallpapers(archivos gráficos presentes en el teléfono), Ringers (sound bites), entradas de calendario, mensajes de texto,historial de llamadas, las entradas de Memo y de los códigos de bloqueo del teléfono. BitPim también captura un

13Información adicional sobre los modelos de teléfonos soportados puede encontrarse en:www.bitpim.org


www.mobiledit.com

55

dump lógica del sistema de archivos, donde se pueden encontrar los datos relativos a las llamadas entrantes /salientes / perdidas / Tentativa y mensajes SMS / MMS. El sistema de ficheros de volcado de datos permite elexamen de SMSy MMS, el contenido del mensaje y la posible recuperación de los elementos eliminados relacionados con entradasde la agenda y los mensajes entrantes y salientes.

BitPim no proporciona ninguna funcionalidad de búsqueda. Sin embargo, los artículos se pueden guardar oexportar en formatos comunes y búsquedas utilizando una herramienta de terceros. La ficha Medios permite a losexaminadores examinar la colección de archivos gráficos presentes en el dispositivo. Cada imagen actual se puedever internamente con la aplicación de ventana, que permite que las imágenes se ampliarán. Además, las imágenesrecogidas se pueden exportar e inspeccionados con una herramienta de terceros, si es necesario. BitPim no admiteinstalaciones de informes internos. Los datos relevantes recogidos en el dispositivo se pueden copiar, haga clic enun elemento especificado y pegar en otro lugar. Herramientas o editores de terceros se pueden utilizar para crearun informe final de los resultados significativos. La Tabla 18 resume los resultadosde la aplicación de los escenarios enumerados en la parte izquierda de la tabla para los dispositivos a través de laparte superior. Información adicional se puede encontrar enNISTIR 7250 teléfono celular forenses Herramientas:una visión general y

Análisis.


Guión

Dispositivo

Audiovox8910

Sanyo8200


Satisfacer Satisfacer

Las aplicaciones PIM Satisfacer Satisfacer


Satisfacer Satisfacer

Mensajería SMS / MMS Abajo Satisfacer

Mensajería Internet NA Perder

Aplicaciones Web Abajo Abajo

Formatos de archivo de texto NA NA

Formatos de archivo de gráficos Abajo Abajo


NA NA

Archivos mal llamada NA NA

Tarjetas de memoria periféricos NA NA

La consistencia de Adquisición NA NA

Dispositivos aclarados NA Arriba

Pérdida de energía Arriba Arriba

Sinopsis TULP2G

TULP2G es un marco de software forense desarrollada por el Instituto Forense de Holanda(NFI) para la extracción y decodificación de los datos almacenados en la electrónica devices.14 El TULP2G

14Información adicional sobre TULP2G se puede encontrar en:http://tulp2g.sourceforge.net


www.bitpim.org

56

marco implica una arquitectura abstracta, con distintas interfaces de plug-in para la extracción de datos a través dediversos medios, decodificación de datos de los datos extraídos, así como una interfaz de usuario. TULP2G no estádiseñado para su presentación, visualización, o la búsqueda de información de los, sino que utiliza XML para elformato de almacenamiento de datos y se basa en las herramientas existentes para la realización de estas funciones.Lamarco, junto con el número de la extracción de datos diferente y decodificación de plug-ins para los teléfonoscelulares, se ha implementado como software de código abierto.

Versión 1.1.0.2 de TULP2G puede adquirir la evidencia de un teléfono a través de diferentes medios decomunicación (es decir, cable, Bluetooth, IrDA) y protocolos (es decir, ETSI y Siemens comandos AT, IrDA yOBEX). Para los teléfonos GSM, también puede adquirir datos de SIM a través de un PC externo / lector deCarolina del Sur. La herramienta ha sido diseñada para trabajar en una amplia variedad de teléfonos que soportanuna o más normas comunes de la interfaz. Siguiendo este enfoque, la herramienta realiza una adquisición lógicautilizando comandos seleccionados a partir de los diferentes estándares de protocolo disponibles para USB, IrDA,interfaces de módem en serie y lectores de PC / SC. Actualmente, se admiten una conexión de módem (es decir,puerto serie, ya sea en serie en la USB, Bluetooth o IrDA), una conexión de socket (es decir, IrDA, Bluetooth), y unPC / SC conexión. El protocolo adecuado se lleva a cabo sobre estosconexiones (por ejemplo, un módem: AT_ETSI, AT_Siemens; IrDA: IrMC; Bluetooth: OBEX, PC / SC: SIMextracción de datos de la tarjeta chip). Los datos se transforma a continuación, utilizando la correspondiente conversiónse produce plug-ins (por ejemplo, AT_ETSI, SMS) y un archivo XML. Una hoja de estilo se puede aplicar al archivopara generar informes en una variedad de formatos y contenidos.

TULP2G puede adquirir las llamadas telefónicas realizadas, llamadas recibidas, mensajes SMS y las entradas de lalibreta de teléfonos de los diferentes teléfonos. También puede acceder a datos más precisos (por ejemplo,enviados / recibidos correo electrónico o calendario, lista de tareas pendientes), en función del par decomunicaciones / protocolo elegido. TULP2G también adquiere IMEI, IMSI y datos específicos sobre el teléfono.Debido TULP2G no es una herramienta de búsqueda y análisis, después de que se genere el informe con formatoXML o HTML, los examinadores deben buscar manualmente el informe de datos o exportar los datos y el uso decualquier otro servicio de búsqueda.Los archivos gráficos se almacenan en el archivo de salida XML con <! [CDATA [etiquetas y pueden serconvertidos y recuperados utilizando el plug-in de conversión (por ejemplo, OBEX, SMS TPDU). Una vez que losdatos han sido convertidos correctamente, los archivos individuales se pueden guardar en el escritorio para losinformes. La Tabla 19 resume los resultados de la aplicación de los escenarios enumerados en la parte izquierda dela tabla para los dispositivos a través de la parte superior. Información adicional se puede encontrar enNISTIR 7250teléfono celular forenses Herramientas: Una visión general y análisis.

Tabla 19: ResultadosMatriz

Guión

Dispositivo

Audiovox8910

Ericsson

T68i

SonyEricsson

P910aMotorola

C333Motorola

V66Motorola

V300Nokia6610i

Nokia6200

Conectividady Recuperación

Satisfacer Satisfacer Satisfacer Satisfacer Satisfacer Satisfacer Satisfacer Satisfacer

PIMAplicaciones

Abajo Abajo Perder Abajo Abajo Abajo Abajo Abajo

Marcadas / RecibidasLlamadas telefónicas

Abajo Abajo Perder Abajo Abajo Abajo Abajo Abajo


http://tulp2g.sourceforge.net

57

Guión

Dispositivo

Audiovox8910

Ericsson

T68i

SonyEricsson

P910aMotorola

C333Motorola

V66Motorola

V300Nokia6610i

Nokia6200

SMS / MMSMensajería

Perder Abajo Perder Perder Perder Abajo Abajo Abajo

InternetMensajería

NA Perder Perder NA NA Abajo NA NA

Web

AplicacionesPerder Perder Perder NA NA Perder Perder Perder

Archivo de texto

FormatosNA NA Perder NA NA Perder Perder Perder

Gráficos del archivoFormatos

Perder Perder Perder NA NA Perder Perder Perder

ComprimidoArchivo HistóricoFormatos

NA NA Perder NA NA NA Perder Perder

Archivos mal llamada NA NA Perder NA NA NA Perder Perder

PeriféricoTarjetas de memoria

NA NA Perder NA NA NA NA NA


NA NA NA NA NA NA NA NA

Dispositivosaclarados

NA Satisfacer Satisfacer Satisfacer Satisfacer Satisfacer NA NA

Pérdida de energía Arriba Arriba Satisfacer Arriba Arriba Arriba Arriba Arriba

Adquisición SIM CardTULP2G versión 1.2.0.2 da los examinadores de la capacidad de adquirir datos de la tarjeta SIM con un lectorcompatible PC/SC-. La adquisición pasos seguidos para adquirir datos directamente desde la tarjeta SIM son losmismos que la adquisición de datos de un teléfono, excepto para la selección de PC / SC comunicación de la tarjetachip en lugar de una conexión en serie o zócalo. Los campos de datos adquiridos (por ejemplo, números demarcación abreviada, los últimos números marcados, números de marcación fija, mensajes) dependen de la tarjetaSIM y el proveedor de servicios. Las instalaciones de informe operan de una manera similar como para lasadquisiciones de teléfono, descrito anteriormente. La Tabla 20 resume los resultados de la aplicación de losescenarios enumerados en la parte izquierdade la tabla a los dispositivos a través de la parte superior. Información adicional se puede encontrar enNISTIR 7250Teléfono celular forenses Herramientas: una visión general y análisis.


GuiónSIM

5343 8778 1144


Satisfacer

SatisfacerDatos de Ubicación Abajo Abajo Abajo

EMS Data Satisfacer

Satisfacer

Abajo

Relaciones Data Language Satisfacer

Satisfacer

Satisfacer


58

Sinopsis SecureViewSecureView versión 1.5.015 disponible tanto para PC y Mac, tiene la capacidad de adquirir datos de variosfabricantes de dispositivos móviles GSM y no GSM. Conectividad de dispositivos se realiza a través de la interfazde cualquier Susteen único cable, Bluetooth o IR. Una vez que la conectividad se ha establecido, la marca y modelodel dispositivo determina la riqueza de datos (por ejemplo, la agenda, SMS, imagen, tono, Calendar) que se puedenrecuperar.

Teléfonos compatiblesSecureView compatible con más de 300 dispositivos móviles de las siguientes marcas: Audiovox, Kyocera, LG,Motorola, Nokia, Samsung, Sanyo, Siemens y Sony Ericsson. La marca, el modelo y el tipo de teléfono quedeterminan los elementos de datos (es decir, la agenda, SMS, imágenes, calendario) que SecureView admite, comose ilustra a continuación en la Figura 28.

Figura 28: Selección de teléfono compatibles

Etapa de adquisiciónAdquisición comienza por el examinador pulsando el teclado virtual (es decir, icono de la herramienta) se ilustra acontinuación en la Figura 29. La clave del icono de la herramienta en el teclado virtual permite al examinadordecidir si la

15Información adicional se puede encontrar en:www.susteen.com


59

dispositivo es detectado automáticamente o seleccionar manualmente a través de la marca y el modelo de listadesplegable. Una vez que se ha establecido la conectividad con el dispositivo, las guías de teclado virtual elexaminador en la selección de elementos de datos específicos para adquirir. Por ejemplo, el icono de la música-notaadquiere tonos de llamada en el dispositivo, si es compatible. Elementos de datos compatibles que son adquiridas sepresentan en ventanas separadas y específicas para el tipo de datos (es decir, la agenda, SMS, imagen, tono,Calendar), permitiendo que los examinadores puedan ver y examinar el contenido de los datos adquiridos. Datosadicionales (es decir, nombre Teléfono, IMEI / ESN) se pueden determinar mediante la selección de la fichaPropiedades en la libreta de direcciones como se muestra a continuación en la Figura 30.

Figura 29: Interfaz de usuario


www.susteen.com

60

Figura 30: Datos de la agendatelefónica

Después que los datos han sido adquiridos con éxito desde el dispositivo, los datos pueden ser protegidos concontraseña a través del menú de la agenda en la pantalla de edición, se muestra a continuación en la Figura 31,para evitar el acceso no autorizado a los datos del caso.

Figura 31: Protección de archivos


61

Funcionalidad de búsquedaMotor de búsqueda de SecureView permite examinadores para realizar búsquedas de cadenas simplificados dentrode las ventanas de datos adquirida y específica (es decir, la agenda, SMS, imagen, tono, Calendar). El motor debúsqueda no dan los examinadores de la capacidad de buscar a través de múltiples casos o varias carpetas en uncaso, o para emitir patrones de expresión complejos.

Graphics LibraryLa biblioteca de gráficos permite a los examinadores examinar la colección de archivos de gráficos presentes en eldispositivo. Cada imagen actual se puede ver con una aplicación de terceros después de que se guarda en el discoduro. La figura 32 muestra una captura de pantalla de un archivo de imagen y la carpeta correspondiente.

Figura 32: archivos deimagen

Generación de informesSecureView no admite instalaciones de informes internos. Los datos relevantes recogidos en el dispositivo sepueden exportar y ver con un visor de terceros correspondiente. Herramientas o editores de terceros pueden serutilizados para crear un informe definitivo de conclusiones significativas.

Escenario Resultados - Celulares


62

La Tabla 21 resume los resultados de la aplicación de los escenarios enumerados en la parte izquierda de la tablapara los dispositivos a través de la parte superior. Más información se puede encontrar en el Apéndice D:SecureView Resultados.


63


Guión

Dispositivo

Audiovox8910

EricssonT68i LG 4015

MotorolaC333

MotorolaV66

MotorolaV300

Nokia6200

Sanyo8200


Miss * Satisfacer Satisfacer Satisfacer Satisfacer Satisfacer Satisfacer

Satisfacer

PIMAplicaciones

Abajo Abajo Abajo Abajo Abajo Abajo Abajo


Perder Perder Perder Perder Perder Perder Perder


Abajo Perder Abajo Abajo Abajo Abajo Perder

InternetMensajería

Perder NA NA NA Perder NA Perder

WebAplicaciones

Perder Perder NA NA Perder Perder Perder

Archivo de textoFormatos

NA NA NA NA Perder Perder NA


Perder NA NA NA Satisfacer Abajo Abajo


NA NA NA NA NA Perder NA

Archivos mal llamada NA NA NA NA NA Perder NA


NA NA NA NA NA NA NA


NA NA NA NA NA NA NA


Arriba Arriba Satisfacer Satisfacer Satisfacer NA Arriba

Pérdida de energía Arriba Arriba Arriba Arriba Arriba Arriba Arriba

Escenario Resultados - Adquisición tarjeta SIMSecureView versión 1.5.0 da examinadores de la capacidad de adquirir datos de la tarjeta SIM con un lectorcompatible PC/SC-. La adquisición pasos seguidos para adquirir datos directamente desde la tarjeta SIM son losmismos que la adquisición de datos de un teléfono, excepto para la selección de PC / SC comunicación de la tarjetachip. Los campos de datos adquiridos (por ejemplo, números de marcación abreviada, los últimos númerosmarcados, fijasNúmeros de marcación, mensajes, etc) dependen de la tarjeta SIM y el proveedor de servicios. La instalaciónInforme opera de una manera similar a las adquisiciones de teléfono, descritos anteriormente.

La Tabla 22 resume los resultados de la aplicación de los escenarios enumerados en la parte izquierda de la tablapara las tarjetas SIM en la parte superior. Más información se puede encontrar en el Apéndice I: SecureView -externos SIM Resultados.

*Adquisición sólo se admite en pay-as-you-go transportistas no


64


GuiónSIM

5343 8778 1144



EMS Data Perder Perder Perder



65

Sinopsis PhoneBase2PhoneBase2 versión 1.2.0.1516 tiene la capacidad de adquirir datos de varios fabricantes de dispositivos móvilesGSM y no GSM. Conectividad de dispositivos se realiza a través de soluciones de terceros de cable, Bluetooth oinfrarrojos. El motor de adquisición dispositivo celular utilizado en PhoneBase2 aparentemente está bajo licencia delos fabricantes de MobileEdit!. Resultados comparables se puede esperar cuando se aplican las herramientas para elmismo dispositivo.

Interfaz de usuario de PhoneBase2 ofrece examinadores con acceso rápido y fácil a todas las funciones principalesdel sistema. Los datos recuperados desde los dispositivos celulares o medios asociados se almacenan en unformato de base de datos común. Los usuarios pueden ser asignados "perfiles de la autoridad", que otorga o niegael uso de funciones específicas, tales como, la modificación de los registros existentes, eliminar registros, o elinicio de datos lee. Los examinadores tienen la capacidad de analizar, examinar, buscar, almacenar, agrega, y crearinformes personalizados para datos adquiridos. La "pantalla principal", se muestra a continuación en la Figura 33,contiene cuatro fichas que proporcionan los examinadores de acceso rápido a los archivos de casos de recientecreación (Hoy), todosexpedientes (Index), agrupaciones de registros en función de la fecha de creación, el usuario, la categoría y el estado(Carpeta), y capacidades de búsqueda en una base de datos (Search).

Figura 33: PhoneBase2 - Interfaz de usuario

16Información adicional se puede encontrar en:www.phonebase.info


66

Teléfonos compatiblesPhoneBase2 compatible con más de 200 dispositivos móviles de las siguientes marcas: Alcatel, Ericsson, LG,Motorola, Nokia, Panasonic, Philips, Samsung, Siemens y Sony Ericsson. La marca, el modelo y el tipo de teléfonoque determinan los elementos de datos (es decir, la agenda, SMS, imágenes, calendario) que SecureView apoya.

Etapa de adquisiciónEl proceso de adquisición comienza ingresando con éxito en la aplicación PhoneBase2 ya sea a través deadministración o un nombre de usuario asignado, creando un caso (por ejemplo, Archivo -> Nuevo) y la adiciónde un registro único en una base de datos proporcionada con el software PhoneBase2, como se ilustra acontinuación en la Figura 34 y la Figura 35.

Figura 34: PhoneBase2 - AdiciónArchivos


www.phonebase.info

67

Figura 35: PhoneBase2 - Adquisición

Después de notas del caso y los campos apropiados contienen marca y modelo del dispositivo se introduceaparecerá el botón READ, que inicia la conectividad con el dispositivo y la lectura de los datos, como se ilustra acontinuación en la Figura 36.


68

Figura 36: PhoneBase2 - Leer teléfono

Después de que los contenidos del dispositivo se han adquirido con éxito, los PhoneBase2 de interfaz de usuario através de guías de los examinadores de descriptores de datos situados en las pestañas de contenido como se ilustraen la Figura 37 y la Figura38 a continuación.


69

Figura 37: PhoneBase2 - Libreta de direcciones

Figura 38: PhoneBase2 - Mensajes de texto


70

Funcionalidad de búsquedaPhoneBase2 ofrece examinadores con la opción para ejecutar una consulta simple en 15 campos (es decir, númerode registro, identificación de exposición, Notas de caso, notas de la tarjeta SIM, el número IMSI, número de serie(ME), el número de serie (ICC), el número de teléfono, números, El texto del mensaje, nombre de contacto, elproveedor de red, datos adjuntos, notas de exposición, número de Seal). PhoneBase2 pre-selecciona los primerostres campos antes mencionados de forma predeterminada. Cuando se procesa una búsqueda de base de datos, semostrarán todos los casos que contengan la cadena de búsqueda consultado. El límite máximo para buscarretornos es de 200.

Graphics LibraryDebajo de la pestaña del sistema de archivos descansa los gráficos, vídeo, audio y otros sub-fichas que contienen losarchivos asociados adquiridos desde el dispositivo del tipo designado por la sub-pestaña. Ilustrado en la Figura 39son las imágenes sub-pestaña que permite el examen de la colección de archivos de gráficos presentes en eldispositivo. Cada imagen actual puede ser vista interno, haciendo clic en el botón Editar, o se puede exportar einspeccionado con una herramienta de terceros.

Figura 39: PhoneBase2 - Graphics Library

Generación de informesPhoneBase2 proporciona una instalación de generación de informes que permite la creación de un informe en copiadura o blanda copia (utilizando software de terceros) que resume los datos relevantes que se encuentran en eldispositivo. Se ilustra a continuación en la Figura 40 son elementos de datos que se pueden seleccionar para losinformes. PhoneBase2 no proporciona los examinadores con la opción de incluir datos de casos adicionales, talescomo ficheros gráficos en el informe final.


71

Figura 40: PhoneBase2 - Opciones de impresión

Escenario Resultados - CelularesTabla 23summarizes los resultados de la aplicación de los escenarios enumerados en la parte izquierda de latabla para los dispositivos listados en la parte superior. Más información se puede encontrar en el Apéndice E:PhoneBase2

Resultados.


Guión

Dispositivo

EricssonT68i

Motorolav66

Motorolav300

Nokia6610i

Conectividad y

RecuperaciónSatisfacer Satisfacer Satisfacer Satisfacer

PIMAplicaciones

Abajo Abajo Abajo Abajo




72

Guión

Dispositivo

EricssonT68i

Motorolav66

Motorolav300

Nokia6610i



InternetMensajería

Perder NA Perder NA

WebAplicaciones

Perder NA Perder Perder


NA NA Perder Satisfacer


Perder NA Satisfacer Abajo


NA NA NA Satisfacer

Archivos mal llamada NA NA NA Satisfacer

Periférico

Tarjetas de memoriaNA NA NA NA

Adquisición

ConsistenciaNA NA NA NA

Dispositivos aclarados Satisfacer Satisfacer Satisfacer NA

Pérdida de energía Arriba Arriba Arriba Arriba

Escenario Resultados - Adquisición tarjeta SIMPhoneBase2 versión 1.2.0.15 da examinadores de la capacidad de adquirir datos de la tarjeta SIM con un PC /lector compatible con SC. La adquisición pasos seguidos para adquirir datos directamente desde la tarjeta SIM sonlos mismos que la adquisición de datos de un teléfono, excepto para la selección de PC / SC comunicación de latarjeta chip. Los campos de datos adquiridos (por ejemplo, números de marcación abreviada, los últimos númerosmarcados, números de marcación fija, mensajes) dependen de la tarjeta SIM y el proveedor de servicios. Lainstalación Informe opera de una manera similar como para las adquisiciones de teléfono, descrito anteriormente.

La Tabla 24 resume los resultados de la aplicación de los escenarios enumerados en la parte izquierda de la tabla paralas tarjetas SIM en la parte superior. Más información se puede encontrar en el Apéndice J: PhoneBase2 - SIMexternos Resultados.


GuiónSIM

5343 8778 1144


Datos de Ubicación Abajo Abajo Abajo




73

Sinopsis CellDEKCellDEK versión 1.3.1.0 tiene la capacidad de adquirir datos de varios fabricantes de dispositivos móviles GSM yno GSM. Conectividad de dispositivos se realiza a través de la interfaz de cualquier CellDEK único cable, Bluetootho IR. La marca y el modelo del dispositivo determina los datos (por ejemplo, la agenda, SMS, imagen, tono,Calendar) que CellDEK recupera. Toda la información es ordenada individualmente utilizando el algoritmo MD5para garantizar que se puede verificar la integridad de los datos. Además, CellDEK genera archivos de registrodetallado del proceso de adquisición, que captura cada vez que pulsa el botón, todos los comandos enviados aldispositivo de destino y todos los datos recibidos del dispositivo de destino.

Teléfonos compatiblesCellDEK versión 1.3.1.0 apoya aproximadamente 220 dispositivos móviles. Los siguientes fabricantes soncompatibles: Acer, BenQ, BenQ Siemens, Blackberry, HP, Imate, Kyocera, LG, Motorola, Nokia, O2, Orange,Samsung, Siemens y Sony Ericsson.

Etapa de adquisiciónSe muestra la pantalla inicial o de inicio de la aplicación CellDEK continuación en la Figura 41. Este menúpermite al examinador con la capacidad de hacer varias actividades (por ejemplo, la adquisición, visualización dedatos, realizar copias de seguridad de archivos, actualizar el software) y sirve como la principal página denavegación. El proceso de adquisición se inicia seleccionando "nuevo dispositivo de lectura".



74

La fase de adquisición sigue pidiendo al examinador para seleccionar el tipo de dispositivo o medio (porejemplo, teléfono celular, PDA, tarjeta SIM, la memoria Flash) para adquirir, como se ilustra a continuación enla Figura 42. Después de que el tipo de dispositivo se ha elegido (en este ejemplo - fue seleccionado "TeléfonoMóvil"), el examinador se le pide que elija el fabricante del dispositivo como se muestra en la Figura 43.

Figura 42: CellDEK - Tipo de dispositivo

Figura 43: CellDEK - Fabricante del dispositivo

Con el fin de continuar para la adquisición y el cable adecuado para ser identificado, se debe introducir el modelodel dispositivo como se ilustra a continuación en la Figura 44. Si el modelo es desconocido o no se puededeterminar, CellDEK proporciona una representación gráfica de todos los dispositivos soportados para ayudar a laidentificación. Además, si se demuestra que es infructuosa, las dimensiones (es decir, longitud, anchura,


75

profundidad) del dispositivo se puede introducir y CellDEK mostrará dispositivos posibles que caen dentro deesas mediciones se muestran.

Figura 44: CellDEK - Selección del modelo

Una vez que el dispositivo ha sido identificado, la aplicación ilumina el procedimiento recomendado conectividad(es decir, por cable, infrarrojos o Bluetooth) y los tipos de datos capaz de ser recuperado, como se ilustra acontinuación en la Figura 45. Si una conexión por cable es permisible, las luces del conector de cable adecuadas paraarriba, alertar al examinador para enchufar el conector de encendido en la cama dispositivo. Una vez que el cable seha asentado correctamente en el dispositivo de cama, el examinador se conecta el cable a la interfaz de teléfono. Sise utilizan conexiones IR o Bluetooth, se muestran instrucciones específicas informar al examinador en lasinstrucciones de adquisición inalámbricos.

Figura 45: CellDEK - Conectividad


76

Cuando el procedimiento de adquisición se complete, se presenta la interfaz "Vista de datos" se muestra acontinuación en la Figura 46.Esta interfaz proporciona los medios para seleccionar y ver los elementos de los datosadquiridos como Device Info, Contactos, Registro de llamadas, mensajes de texto, organizador y datos ampliados.Este último contiene imágenes grabadas, audio y video. La siguiente ilustración muestra un ejemplo de pantalla dela selección de contactos y datos asociados presentes en el dispositivo adquirido.

Funcionalidad debúsqueda

Figura 46: CellDEK - Contactos

La unidad CellDEK no tiene ninguna funcionalidad de búsqueda integrado en la aplicación. Los informesgenerados se pueden buscar cadenas específicas utilizando una herramienta de terceros.


77

Graphics LibraryCellDEK clasifica los archivos de gráficos, así como archivos de audio y vídeo, como "Extended Data". Una vezque los datos estándar (por ejemplo, contactos, registro de llamadas, mensajes de texto, organizador) con éxito se haextraído, la opción de descargar datos extendidos encuentra en el dispositivo o en los medios de comunicación se da.Datos del archivo gráfico se muestra como se ilustra a continuación en la Figura 47 (miniaturas se pueden ampliarpulsando en la imagen con el lápiz).

Figura 47: CellDEK - Graphics Library


78

Generación de informesCellDEK genera automáticamente archivos de informes que contengan todos los datos que se encuentran en unformato HTML, a través de la interfaz de usuario. Los informes se pueden personalizar con logotipos de laempresa y detalles de casos, cuando entró por el examinador antes de la adquisición de dispositivos como semuestra en la Figura 48.

Figura 48: CellDEK - Datos del caso

Escenario Resultados - CelularesLa Tabla 25 resume los resultados de la aplicación de los escenarios enumerados en la parte izquierda de la tablapara los dispositivos listados en la parte superior. Más información se puede encontrar en el Apéndice F: CellDEKResultados.


Guión

Dispositivo

EricssonT68i

MotorolaMPX220

MotorolaV66

MotorolaV300

Nokia6200

Nokia6610i


Satisfacer Satisfacer Satisfacer Satisfacer Satisfacer Satisfacer

PIMAplicaciones

Abajo Abajo Abajo Abajo Abajo Abajo

Marcadas / Recibidas

Llamadas telefónicasAbajo Abajo Abajo Abajo Abajo Abajo

Mensajería

SMS / MMSAbajo Abajo Abajo Abajo Abajo Abajo


79

Guión

Dispositivo

EricssonT68i

MotorolaMPX220

MotorolaV66

MotorolaV300

Nokia6200

Nokia6610i

InternetMensajería

Perder Abajo NA Abajo NA NA

WebAplicaciones

Perder Perder NA Perder Perder Perder


NA Perder NA Perder Perder Perder


Perder Abajo NA Satisfacer Abajo Abajo


NA Perder NA NA Perder Perder

Archivos mal llamada NA Perder NA NA Perder Perder


NA Abajo NA NA NA NA

Adquisición

ConsistenciaSatisfacer Satisfacer Satisfacer Satisfacer Satisfacer Satisfacer


NA Satisfacer Satisfacer Satisfacer NA NA

Pérdida de energía Arriba Arriba Arriba Arriba Arriba Arriba

Escenario Resultados - Adquisición tarjeta SIMCellDEK versión 1.3.1.0 ofrece la posibilidad de adquirir los datos de la tarjeta SIM utilizando el lector compatiblePC/SC- integrado en el lado derecho de la caja de transporte. Un LED verde parpadea, cuando la tarjeta SIM estábien colocada. El proceso de adquisición se inicia pulsando el botón "Tarjeta SIM" en la pantalla Device TypeSelect, que le pide al examinador para insertar la tarjeta SIM en el lector, como se ilustra a continuación en la Figura49.

Figura 49: CellDEK - SIM Adquisición

Durante el proceso de adquisición, se muestra un registro de actividad, como se ilustra a continuación en la Figura50, con todos los detalles de lo que los elementos de datos actualmente están siendo adquirido de la tarjeta SIM.Antes de la lectura de la tarjeta SIM, el examinador se le pide a los "Datos del caso" pantalla permitiendo adicional


80

notas sobre los datos recuperados de la tarjeta SIM que se introduce a través del teclado virtual. El casoLos detalles se incluirán en el informe final como se ha descrito anteriormente.

Figura 50: CellDEK - Registro de actividad

Los campos de datos siguientes se presentan: IMSI, ICCID, MSISDN, ADN, LND, SMS, y la información deloci. La Tabla 26 resume los resultados de la aplicación de los escenarios enumerados en la parte izquierda de latabla para las tarjetas SIM en la parte superior. Más información se puede encontrar en el Apéndice K: CellDEK- SIM externos Resultados.


GuiónSIM

5343 8778 1144






81

Sinopsis SIMIS2SIMIS2 versión 2.2.11 de Crown Hill17 es capaz de adquirir información de tarjetas SIM a través de la PC / lectorde tarjetas compatible con SC que viene con el software. SIMIS2 ofrece examinadores con una interfaz de usuarioque contiene un conjunto de fichas que proporcionan los examinadores con la capacidad de crear señala el informe,importar informes archivados, buscar adquirió datos y realizar la administración PIN. SIMIS2 permite los siguientestipos de datos que se deben adquirir a partir de tarjetas SIM: Números de marcación abreviada (ADN), números demarcación fija (FDN), Identidad internacional del abonado móvil (IMSI), los últimos números marcados (LND),Mobile Subscriber Integrated Services Digital Network Number ( MSISDN), Parámetros cortos mensajes deservidor (Segunda Reunión), SMS mensajes cortos, mensajes eliminados, terreno público Redes móviles (PLMN),prohibido Redes Móviles Terrestres Públicas (FPLMNS), información de ubicación, canal de control de difusión(BCCH), mensaje de difusión celular Identificador de Descargar datos (CBMID), Número de correo de voz,identificación Integrated Circuit Card (ICCID), la fase de identificación, proveedor de servicios, administración dedatos, números de marcación de servicio (SDN) yParámetros de configuración de capacidad. La herramienta también puede realizar un volcado completo de loscontenidos de la tarjeta para el análisis.

La adquisición se inicia mediante la recopilación de información de los casos (es decir, la referencia de archivoúnico, nombre del operador, número de caso, IMEI, ICCID y el proveedor de servicios de información impresa en latarjeta SIM) del examinador para su inclusión en el informe final. Después de una adquisición exitosa, SIMIS2compara los datos introducidos manualmente (por ejemplo, el ICCID) con los datos adquiridos a partir de la tarjetaSIM para la consistencia. Si se encuentra una discrepancia, se notifica al examinador. SIMIS2 permite a losexaminadores para ver los datos adicionales que no se muestran en la interfaz de usuario. Un archivo de volcadoASCII (. Dmp) se puede crear en el directorio de salida SIMIS2 seleccionando "dump SIM" en el menú Archivo.Por ejemplo, las redes prohibidas (FPLMNs) fichero elemental se puede conseguir de esta manera.

Los informes generados se pueden personalizar con detalles relacionados con el examen antes de que ocurra laadquisición, que se incluyen en la versión final. Después de seleccionar la opción "Read SIM" y la adquisición detodos los datos, se genera el informe se muestra al usuario. El informe generado es un informe basado en HTMLque se puede ver con un editor de HTML estándar. El motor de búsqueda SIMIS2 ofrece examinadores de lacapacidad de realizar búsquedas en los números de teléfono que aparecen en un caso o en toda la base de datos detodos los casos creados. En la actualidad, las búsquedas de cadenas alfa no son compatibles. SIMIS2 Actualmenteno muestra ningún tipo de gráficos que se encuentran en ciertos mensajes SMS de adultos.



GuiónSIM

5343 8778 1144


Satisfacer

Satisfacer

17Para más información sobre los productos Crownhill USA:www.crownhillmobile.com


82

GuiónSIM

5343 8778 1144


Abajo Abajo


Relaciones Data idioma • Satisfacer

Satisfacer

Satisfacer

•Las versiones anteriores de SIMIS2 no se muestran correctamente los caracteres Unicode. Versión 2.2.11 ha corregido este problema.


www.crownhillmobile.com

83

Sinopsis ForensicSIMEl kit de herramientas ForensicSIM de Tácticas de radio es capaz de adquirir información de tarjetas SIM a través deun PC / lector de tarjetas compatible con SC que viene con el software. Antes de que los contenidos de los datos de latarjeta SIM pueden ser analizados con el software de análisis forense, el examinador debe utilizar el terminal deadquisición de ForensicSIM, un dispositivo independiente, para crear una copia de referencia del objetivo SIM enuna tarjeta de almacenamiento por separado. Para copiar la SIM, el examinador primera sesión en el terminal deadquisición con un número de usuario y PIN. La terminal de adquisición luego camina al examinador a través delproceso de introducción de la tarjeta SIM de destino y la creación de copias de referencia duplicados en las tarjetasSIM proporcionadas en blanco. Un Maestro SIM está destinado para el almacenamiento en caso de una disputa depruebas, mientras que una copia SIM Fiscalía que sirve como un trabajo duplicado para la recuperación y el análisisde las pruebas, y una copia Defensa SIM que sirve como un trabajo duplicado extendido a la defensa. Además de lasmencionadas tarjetas SIM de copia, existe una opción para crear una tarjeta de acceso. La tarjeta de acceso es unacopia de la tarjeta SIM de destino que se puede insertar en un teléfono GSM asociado para el examen, sin el riesgo deconectar a la red celular.

Una vez que el objetivo SIM ha sido duplicado con éxito, el software ForensicSIM y lector de SIM se puedenutilizar para crear un informe de los datos contenidos en un SIM de referencia. El ForensicSIM toolkit permite lossiguientes tipos de datos que deben recuperarse: archivos de abonado / usuario relacionados, Tlf. archivosrelacionados Número, archivos relacionados SMS, archivos relacionados con la red y la información general SIM.Cada campo individual contiene metadatos adicionales acerca de cada tipo.

El examinador tiene la opción de crear un informe estándar o un informe avanzado. Un informe estándar sólomuestra información de la tarjeta de identificación, la agenda y los mensajes de texto SMS. El reporte avanzadomuestra información adicional recuperado de la tarjeta SIM. Después de que los datos de la tarjeta SIM se haadquirido con éxito, el examinador se le pide que introduzca la información específica para cada caso (es decir,Operador, Operador Nombre, Fecha / Hora, Número de referencia, caso N º Referencia, Oficial de Casos, prueba dereferencia, Anexo Seal No., prueba Reseal No., Teléfono Marca, códigos PIN / PUK, si se conocen) Tipo deteléfono, IMEI y. Una vez generado el informe, los inspectores pueden buscar manualmente los datos que contieneo utilizar un motor de búsqueda automatizado apropiado para el tipo de archivo exportado del informe. La Tabla 28resume los resultados de la aplicación de los escenariosaparece en la parte izquierda de la tabla para los dispositivos a través de la parte superior. Información adicional sepuede encontrar enNISTIR 7250 teléfono celular forenses Herramientas: una visión general y análisis.


GuiónSIM

5343 8778 1144


Perder Abajo


Perder Abajo

EMS Data Abajo Perder Abajo

Relaciones Data Language Abajo Perder Abajo


84

Sinopsis del lector de tarjetas ForenseForense lector de tarjetas (FCR) 18 versión 1.8.0.94 es capaz de adquirir información de tarjetas SIM a través dellector de Chipy PC / SC. El lector de tarjetas FCR PC / SC USB y el software de FCR dan examinadores de lacapacidad de capturar datos como el ID ICC, IMSI, las llamadas entrantes / salientes, números de llamadaabreviados, mensajes SMS y datos de localización. Elementos de datos y el progreso de adquisición se muestran,permitiendo que el proceso de adquisición a ser monitoreados. FCR no tiene un motor de búsqueda integrado ofacilidades de búsqueda. Una vez generado el informe en formato XML, los examinadores pueden buscarmanualmente los datos que contiene o utilizar una herramienta de búsqueda apropiada. FCR no muestra losarchivos de gráficos de cualquier tipo. La aplicación FCR sólo permite que los examinadores para exportar datosde texto en el formato XML. Una vez que se genera el informe final, el archivo se puede ver con un navegadorWeb apropiado o editor XML.La Tabla 29 resume los resultados de la aplicación de los escenarios enumerados en la parte izquierda de la tablapara los dispositivos a través de la parte superior. Información adicional se puede encontrar en NISTIR 7250teléfono celular Herramientas forenses: una visión general y análisis.


GuiónSIM

5343 8778 1144


Datos de Ubicación Abajo Abajo Abajo



18Información adicional sobre FCR se puede encontrar en:http://www.becker-partner.de/forensic/intro_e.htm


85

Sinopsis SIMConSIMCon versión 1.2 se puede obtener información de tarjetas SIM a través de un PC / lector compatible con SC. Elsoftware SIMCon da examinadores la capacidad de capturar y analizar datos como el DNI (ICCID), números demarcación almacenados (ADN), Números de marcación fija (FDN), número de abonado (MSISDN), los últimosnúmeros marcados (LND), mensajes SMS , identificación del abonado (IMSI), clave de cifrado (Kc) y de laInformación (loci) Ubicación. Después de una adquisición exitosa, todo el contenido de la SIM pueden serguardados y almacenados en la SIMCon. Formato propietario SIM para su posterior procesamiento. SIMConpermite buscar no estándar "archivos ocultos" marcando la opción "Buscar archivos ocultos" casilla de verificación.SIMCon utiliza una instalación de hash interna para garantizar la integridad de los casos y detectar si el sabotaje seprodujo durante el almacenamiento. SIMCon utiliza el algoritmo SHA1 para calcular un hash para cada archivo amedida que se lee de la tarjeta. Al seleccionar "Verificar Hash" en el menú "Archivo", provoca SIMCon para volvera calcular todos los hashes y compruebe que el archivo original está en consonancia con el caso reabierto.

SIMCon no tiene un motor de búsqueda integrado o facilidades de búsqueda. Sin embargo, los datos se pueden verde forma manual mediante la navegación a través de la estructura de árbol y seleccionar elementos de datosindividuales. Una representación textual y hexadecimal de un elemento de datos seleccionado se presenta en el panelinferior. Además, una vez que se genera el informe con formato, los examinadores pueden buscar manualmente deforma manual o utilizar una herramienta de búsqueda automática apropiada. SIMCon sólo admite imágenes depíxeles pequeños (16x16) y grandes (32x32) embebidos en determinados mensajes SMS de adultos. Estos tipos deimágenes se presentan junto con el contenido de texto del mensaje. La generación de informes se inicia solicitando alexaminador con los detalles de casos específicos como el nombre de investigador, fecha / hora, Identificación delcaso, el número de pruebas y toma nota específica para la investigación. El informe incluye los datos de los casosingresados ylos elementos de datos seleccionados por el examinador para su inclusión.



GuiónSIM

5343 8778 1144


Abajo Abajo


Satisfacer

SatisfacerEMS Data Satisface

rSatisfacer


rSatisfacer

Satisfacer


http://www.becker-partner.de/forensic/intro_e.htm

86

Sinopsis USIMdetectiveDe Quantaq USIMdetective versión 1.3.119 se puede obtener información de tarjetas SIM a través de un lectorcompatible PC/SC-. El software proporciona USIMdetective examinadores con la posibilidad de adquirir, analizar ygenerar informes personalizados incluyendo datos como el DNI (ICCID), números de marcación almacenados(ADN), números de marcación fija (FDN), el número de abonado (MSISDN), los últimos números marcados(LND), SMS y EMS mensajes, identificación del abonado (IMSI), clave de cifrado (Kc) y de la Información (loci)Ubicación.

Etapa de adquisiciónUna vez que la correcta conectividad se establece con el SIM, el examinador se le solicite el PIN correcto, si latarjeta SIM está protegida, antes de iniciar la adquisición. Si la tarjeta SIM no contiene una adquisición PINcomienza haciendo clic en OK como se ilustra a continuación en la Figura 51.


Después de una adquisición exitosa, todo el contenido de la SIM pueden ser guardados y almacenados enFormato propietario de USIMdetective para el procesamiento posterior. USIMdetective utiliza un internohash instalación para asegurar la integridad de los datos de casos y detectar si el sabotaje se produjo durante elalmacenamiento. USIMdetective utiliza comprobaciones de integridad SHA1 y MD5 para garantizar que el archivooriginal está en consonancia con el expediente reabierto. La figura 52 proporciona una instantánea de la interfaz deusuario,que proporciona el examinador con una interfaz explica por sí mismo a las funciones soportadas.

19Información adicional sobre USIMdetective se puede encontrar en:http://www.quantaq.com/


87

Funcionalidad debúsqueda


USIMdetective no tiene un motor de búsqueda integrado o facilidades de búsqueda. Sin embargo, los datos sepueden ver de forma manual mediante la navegación a través de la estructura de árbol y seleccionar elementos dedatos individuales o el HTML generado reportado se pueden buscar usando una herramienta de terceros.

Graphics LibraryUSIMdetective no muestra archivos gráficos de cualquier tipo, aunque los datos en bruto asociados con imágenesde píxeles pequeños (16x16) y grandes (32x32) está presente. Por lo general, este tipo de imágenes se insertan enun mensaje MMS / EMS, y se presentan junto con el contenido textual del mensaje SMS / EMS.

Generación de informesLa generación de informes se inicia solicitando al examinador con los detalles de casos específicos como el nombrede investigador, fecha / hora, Identificación del caso, el número de pruebas y toma nota específica para lainvestigación, como se ilustra a continuación en la Figura 53.


http://www.quantaq.com/

88

Figura 53: Notas de adquisición

El informe final se puede exportar en varios formatos, como se ilustra a continuación en la Figura 54. El examinadorse proporciona con la opción de incluir o excluir elementos de datos específicos asociados a un tipo de informe.



89

Un extracto del informe se ilustra a continuación en la Figura 55 y la Figura 56. El informe incluye informaciónrelevante para el caso como se mencionó anteriormente, y los elementos de datos seleccionados por el examinadorque están en relación con el caso o incidente.

Figura 55: Reporte Extracto


90

Figura 56: Reporte Extracto

Escenario ResultadosLa Tabla 31 resume los resultados de la aplicación de los escenarios enumerados en la parte izquierda de la tablapara las tarjetas SIM en la parte superior. Más información se puede encontrar en el Apéndice L: USIMdetective -SIM externos Resultados.


GuiónSIM

5343 8778 1144


Satisfacer

SatisfacerDatos de Ubicación Satisface

rSatisfacer

Satisfacer


91

GuiónSIM

5343 8778 1144




92

ConclusionesExamen forense de dispositivos móviles es un tema cada vez mayor en la informática forense. En consecuencia,teléfonos celulares herramientas forenses son un desarrollo relativamente reciente y en las primeras etapas demadurez. Herramientas de Reconocimiento Médico Legal traducen los datos en un formato y una estructura que seacomprensible por el examinador y se puede utilizar con eficacia para identificar y recuperar la evidencia. Sinembargo, las herramientas pueden contener un cierto grado de inexactitud. Por ejemplo, la aplicación de unaherramienta puede contener un error de programación; una especificación utilizado por la herramienta para traducirbits codificados en datos comprensibles por el examinador puede ser inexacta o fuera de fecha, o la estructura deprotocolo generada por el dispositivo celular como entrada puede es incorrecta, causando la herramienta nofuncione correctamente. Con el tiempo, la experiencia con una herramienta proporciona una comprensión de suslimitaciones, lo que permite un examinador para compensar en lo posible cualquier deficiencia o acudir a otrosmedios de recuperación.

Mientras que las herramientas se describen en este documento generalmente un buen desempeño y una funcionalidadadecuada, se espera que las nuevas versiones de mejorary satisfacer mejor las necesidades de investigación. Este hasido el caso en general para aquellas herramientas resumió anteriormente en NISTIR 7250 del teléfono celularforense Herramientas: una visión general y análisis. No hay una sola herramienta forense, sin embargo, se dirige atoda la gama de dispositivos que se pueden encontrar en la práctica. Para cubrir la más amplia gama de teléfonosmóviles y (U) SIM, se debe esperar los examinadores de tener una caja de herramientas que contiene variasherramientas forenses bien elegidos.

Los siguientes criterios destacan algunos elementos a considerar al elegir entre las herramientas disponibles:• Facilidad de uso - la capacidad de presentardatos en un formularioque es útil para un investigador.

• Integral - la capacidad de presentar todosdatos recuperables presentes en el dispositivo a uninvestigador para que las pruebas relacionadas con una investigación puede ser identificado.

• Precisión - la calidad que la salida de la herramienta ha sido verificada y un margen de errordeterminado.

• determinista - la capacidadpara la herramienta para producir la misma salida cuando se les da elmismo conjunto deinstrucciones y de datos de entrada.

• Verificable - la capacidad de asegurar la precisión de la salida por tener acceso a la traducciónintermedia y presentación de resultados.

• Aceptación - el grado de revisión por pares y el acuerdo sobre la metodología o técnicautilizada por la herramienta.

• Calidad - la técnicaapoyo, la fiabilidad, y el mantenimiento proporcionado por elfabricante

• Capacidad - los dispositivos compatibles, conjunto de características,rendimiento y riqueza de características en cuanto a flexibilidad ypersonalización

• Asequibilidad - el costo en comparación con los beneficios asociados enproductividad


93

Glosario de siglasADN (números de marcación abreviada) - Censada guardan en la tarjeta SIM.

CDMA (Code Division Multiple Access)- Una tecnología de espectro ensanchado para redes celulares basadas enel Estándar Provisional-95 (IS-95) de la Asociación de la Industria de Telecomunicaciones (TIA).

EDGE (Velocidades de Datos Mejoradas para la Evolución de GSM) - La actualización a GPRS paraproporcionar mayores velocidades de datos al unirse varios intervalos de tiempo.

(Servicio de mensajería mejorado)- Un sistema de mensajería mejorado para los teléfonos móviles GSM quepermite la imagen, el sonido, la animación y el texto elementos que se transmiten a través de uno o más mensajesSMS concatenados.

ESN (número de serie electrónico)- Un número único de 32 bits programado en los teléfonos CDMA cuando sefabrican.

ID de la FCC (Comisión Federal de Comunicaciones de identificación número)- Un identificador encontrar entodos los teléfonos móviles que se venden legalmente en los EE.UU., que se emite por la FCC.

FDN (números de marcación fija)- Un conjunto de números de teléfono mantiene en la tarjeta SIM que elteléfono puede llamar exclusivamente de cualquier otro (es decir, todos los demás números no se permiten).

FPLMN (Forbidden PLMN) -una lista de Redes Móviles Terrestres Públicas (PLMN) mantenidos en la tarjeta SIMque el teléfono no puede ponerse en contacto de forma automática, por lo general porque el servicio ha sidorechazada por un proveedor extranjero.

GID1 (Grupo Identificador Nivel 1) - Un identificador para un SIM en particular y de asociación auricular, quepuede ser usado para identificar un grupo de SIMs implicadas en una aplicación particular.

GID2 (Grupo Identificador Nivel 2) - Un identificador GID1 similar.

GPRS (General Packet Radio Service) - Una mejora de la conmutación de paquetes a GSM y TDMAredes inalámbricas para aumentar la velocidad de transmisión de datos.

GRPSLOCI (Información Ubicación GPRS)- La información de área de encaminamiento (RAI), enrutamientoEstado de actualización de Área, y otra información de localización mantienen en el SIM.

GSM (Sistema Global para Comunicaciones Móviles)- Un conjunto de normas para redes celulares de segundageneración actualmente mantenidos por el Proyecto de Asociación de 3 ª Generación (3GPP).

HTTP (HyperText Transfer Protocol) - Un método estándar para la comunicación entre clientes y servidores Web.

ICCID (circuito de identificación de tarjetas integrado)- Un identificador único e inmutablemantiene dentro de la tarjeta SIM.


94

iDEN (Integrated Digital Enhanced Network)- Una tecnología de comunicación móvil desarrollada porMotorola que combinan las capacidades de un teléfono celular digital de radio de dos vías.

IM (mensajería instantánea)- Una instalación para el intercambio de mensajes en tiempo real con otraspersonas a través de Internet y el seguimiento del progreso de la conversación.

IMEI (International Mobile Equipment Identity) - Un número único programado en GSMy los teléfonos móviles UMTS.

IMSI (International Mobile Subscriber Identity) - Un número único asociado con cadaUsuario de teléfono móvil GSM.

IMAP (Internet Message Access Protocol) - Un método de comunicación utilizado para leer el correoelectrónico almacenado en un servidor remoto.

LND (últimos números marcados) - Un registro de los últimos números marcados, similar a la mantenida en elteléfono, pero se mantuvo en la tarjeta SIM y sin una marca de tiempo.

Loci (Información de ubicación)- La ubicación de identificador de área (LAI) de la ubicación actual del teléfono,mantiene continuamente en la tarjeta SIM cuando el teléfono está activo y se guarda cada vez que el teléfono estáapagado.

MMS (Multimedia Messaging Service)- Un estándar aceptado para la mensajería que permite a los usuariosenviar y recibir mensajes con formato de texto, gráficos, fotografías, audio y video clips.

MSISDN (Mobile Subscriber Integrated Services Digital Network)- El número de teléfono internacionalasignado a un abonado celular.

PIM (Personal Information Management)- Tipos de datos, como contactos, entradas de calendario, tareas,notas, memorandos y correos electrónicos que se pueden sincronizar desde el PC al dispositivo y viceversa.

POP (Post Office Protocol) - Un protocolo estándar utilizado para recibir correo electrónico desde un servidor.

SIM (Subscriber Identity Module) - un chip de tarjeta inteligente de los manifiestamente utilizados en equipos

GSM. SMS (Short Message Service) - una instalación de red de telefonía móvil que permite a los usuarios enviar yrecibir mensajes de texto alfanumérica de hasta 160 caracteres en su teléfono celular o cualquier otro dispositivoportátil

SMS (Short Message Service) chat- Un centro de intercambio de mensajes entre los usuarios de teléfonosmóviles en tiempo real a través de la mensajería de texto SMS, lo que permite que los mensajes anteriores dela misma conversación para ser visto.


95

SMTP (Simple Mail Transfer Protocol) - El protocolo más utilizado para transferir mensajes de correoelectrónico en Internet.

UMTS (Sistema Universal de Telecomunicaciones Móviles)- Tercera generación de tecnologías (3G) detelefonía móvil estandarizados por el 3GPP como la sucesora de GSM.

USIM (UMTS Subscriber Identity Module)- Un módulo similar a la tarjeta SIM en GSM / GPRSredes, pero con capacidades adicionales adaptadas a las redes 3G.

WAP (Wireless Application Protocol) - Un estándar que define la forma en que las comunicaciones deInternet y otros servicios avanzados se proporcionan en los dispositivos móviles inalámbricos.

WIM (Módulo de identidad WAP) - Un módulo de seguridad implementado en la tarjeta SIM que proporcionaun entorno de confianza para el uso de las aplicaciones y servicios relacionados WAP en un dispositivo móvil através de una puerta de enlace WAP.

WiFi (Wireless Fidelity)- Un término genérico que se refiere a una red de área local inalámbrica queobserva el protocolo IEEE 802.11.

WML (Wireless Markup Language)- Una versión reducida de HTML para permitir que los dispositivosmóviles para acceder a sitios Web y las páginas que se han convertido de HTML para el formato de texto másbásico de apoyo.

XHTML (Extensible HyperText Markup Language) - Un estándar unificador que trae elBeneficios XML de fácil validación y solución de problemas a HTML.

XML (Extensible Markup Language)- Un formato de texto flexible, diseñado para describir los datos de lapublicación electrónica.


96

Apéndice A: Device Seizure Resultados - Smart DevicesLos escenarios se realizaron en una recuperación forense de dispositivos de prueba (FRED) con Windows XPSP2. Device Seizure versión 1.1 se utilizó para adquirir datos de Palm OS, Pocket PC y los dispositivosBlackBerry con capacidad de teléfono celular.

Blackberry 7750Los siguientes escenarios fueron ejecutados en un dispositivo inalámbrico CDMA BlackBerry basado enJava Verizon 7750 de mano con v3.7.1.36 (Plataforma 1.4.0.37).

Conectividad y recuperación:Los contenidos del dispositivo se adquirieron con éxito. Si se aplican losmecanismos de autenticación, la frase de paso correcta deberá aportarse en 10 intentos. La correcta frase de paso sedebe proporcionar para la memoria y la adquisición de bases de datos. No se encontró información del proveedorde servicio (por ejemplo, ESN, MSID, FCCID) abonado Basic y. El tamaño de la memoria reportado esincompatible con el tamaño total que se encuentra en el dispositivo a través de las opciones de> Pantalla Estado. (Meet)

PIM Aplicaciones:Todos los datos PIM (es decir, libreta de direcciones, calendario, tareas, notas) se encuentraen las bases de datos correspondientes (es decir, libreta de direcciones, calendario, tareas, notas de base de datos)y reportado. Se encontró que todos los datos PIM eliminados y reportados en la ventana de memoria. (Meet)

Realización / Recepción de llamadas telefónicas:Todo marcados / llamadas recibidas fueron encontrados yreportados en el registro de llamadas de teléfono, la base de datos Lista Caliente teléfono, y la ventana de lamemoria al realizar una búsqueda. Llamadas eliminados se encuentran en la ventana de memoria. (Meet)

SMS / MMS Mensajería: Se encontró que todos los mensajes SMS entrantes y salientes activos einformados en la carpeta de mensajes y la ventana de la memoria. Se encontró que todos los SMS borrados yreportados en la ventana de memoria. Mensajes MMS no son compatibles. (Meet)

Mensajería de Internet: Todo el contenido de datos asociado conenviados y se encontró mensajes de correoelectrónico recibidos y reportados en la base de datos de mensajes y la ventana de la memoria. No se encontraronmensajes eliminados y reportados en la ventana de memoria. El dispositivo BlackBerry no es compatible conmensajería instantánea, por lo que esta parte de la hipótesis no es aplicable. (Meet)

Aplicaciones Web:NA - Para que el Verizon BlackBerry 7750 para utilizar el visor Web, los clientes de Verizondebe comprar una solución de terceros tales como MobileWeb4U Web Móvil WAP Gateway. Verizon noproporciona una puerta de enlace WAP pública con esta capacidad. (NA)

Formatos de archivo de texto: Contenido de los datos asociados a los archivos de texto (es decir,. Txt,. Doc,. Pdf)sólo se encontró en. Txt archivos cuando se envían a través de correo electrónico o el protocolo de BlackBerryDesktop Manager. No se encontraron datos eliminados. (Abajo)

Gráficos Formatos de archivo: Archivo de gráficos (por ejemplo,. Bmp,. Jpg,. Gif,. Png,. Tif) no se encontró o semuestra cuando se envían por correo electrónico el contenido de los datos. El protocolo de BlackBerry DesktopManager no permite la transferencia de archivos de imagen al dispositivo. El nombre de archivo y la línea deasunto del correo se encuentra y se informó. (Miss)


97

Formatos de archivo comprimido Archivo:Archivo de datos comprimidos (es decir,. Zip,. Avi,. Exe,. Tgz) No se

encontró contenido. (Miss)

Archivos mal llamada: Archivo mal llamada (por ejemplo,. Txt archivo renombrado con la extensión. dll

extensión) contenido de los datos no fue encontrado. (Miss)

Periféricos Tarjetas de memoria:NA - El BlackBerry 7750 no permite para los medios extraíbles. (NA)

La consistencia de adquisición:Dos adquisición consecutiva producir diferentes valores hash generales de lamemoria. Sin embargo, los archivos de base de datos individuales adquiridos fueron consistentes. (Meet)

Dispositivos aclarados:Existen dos métodos para realizar un restablecimiento completo en un dispositivoBlackBerry: 1) que no entreguen la frase de paso correcta dentro de 10 intentos 2) acceder a BlackBerry DesktopManager y despejar todas las bases de datos a través de la copia de seguridad / Restaurar menú avanzado. Elprimer enfoque obliga al usuario a volver a descargar el sistema operativo antes de que el dispositivo funcionacorrectamente. No se encontraron datos. (Meet)

Los siguientes datos se encuentran después de eliminar un dispositivo a través del gestor de escritorio: los datosPIM (es decir, libreta de direcciones, calendario), Realización / Recepción de llamadas telefónicas y de datos demensajería de Internet (es decir, sujeto / nombre de archivo). (Arriba)

Pérdida de energía:El BlackBerry 7750 se repobló con los escenarios anteriores, a continuación, completamentedrenado de toda la energía de la batería y volvió a adquirir. Todos los datos se encontró como se informóanteriormente. (Arriba)

BlackBerry 7780Los siguientes escenarios fueron ejecutados en un dispositivo BlackBerry AT & T GSM 7780 basado en Javainalámbrico de mano corriendo v3.7.1.59 (Plataforma 1.6.1.48).

Conectividad y recuperación:Los contenidos del dispositivo se reciben con éxito, con o sin la presente SIM. Si seaplican los mecanismos de autenticación, la frase de paso correcta deberá aportarse en 10 intentos. La correcta frasede paso se debe proporcionar para la memoria y la adquisición de bases de datos. No se encontró información delproveedor de servicio (por ejemplo, IMEI, ICCID, MSISDN) de abonado Basic y. El tamaño de la memoriareportado es incompatible con el tamaño total que se encuentra en el dispositivo a través de> Opciones-la pantalla deestado. (Meet)

PIM Aplicaciones:Se encontró que todos los datos PIM y reportados (es decir, libreta de direcciones, calendario,tareas, notas) en las bases de datos correspondientes (es decir, libreta de direcciones, calendario, tareas, notas debase de datos). Se encontró que todos los datos PIM eliminados y reportados en la ventana de memoria. (Meet)

Realización / Recepción de llamadas telefónicas:Todo marcados / llamadas recibidas fueron encontrados yreportados en la ventana del registro de llamadas, la base de datos Lista Caliente teléfono y la memoria delteléfono al realizar una búsqueda. Llamadas eliminados se encuentran en la ventana de memoria. (Meet)


98

SMS / MMS Mensajería:Se encontró que todos los mensajes SMS entrantes y salientes activos e informados en lacarpeta de mensajes y la ventana de la memoria al realizar una búsqueda en el contenido del mensaje. Se encontróque todos los SMS borrados y reportados en la ventana de memoria. Mensajes MMS no son compatibles. (Meet)

Mensajería de Internet:Todo el contenido de datos asociado conenviados y se encontró mensajes de correoelectrónico recibidos y reportados en la base de datos de mensajes y la ventana de la memoria. No se encontraronmensajes eliminados y reportados en la ventana de memoria. El dispositivo BlackBerry no es compatible conmensajería instantánea, por lo que omite en este escenario. (Meet)

Aplicaciones Web:URL visitadas y consultas en los motores de búsqueda fueron encontrados y reportados. No seencontró contenido Web Pruebas relativas a URLs. No hay imágenes gráficas de los sitios visitados se encontraron yse muestra. (Abajo)

Formatos de archivo de texto: Contenido de los datos asociados a los archivos de texto (es decir,. Txt,. Doc,. Pdf)sólo se encontró en. Txt archivos cuando se envían a través de correo electrónico o el protocolo de BlackBerryDesktop Manager. El nombre de archivo y la línea de asunto del correo se encuentra y se informó de todos losarchivos basados en texto. No se encontraron datos eliminados. (Abajo)

Gráficos Formatos de archivo: Archivo de gráficos (por ejemplo,. Bmp,. Jpg,. Gif,. Png,. Tif) no se encontró o semuestra cuando se envían por correo electrónico el contenido de los datos. El protocolo de BlackBerry DesktopManager no permite la transferencia de archivos de imagen al dispositivo. El nombre de archivo y la línea deasunto del correo se encuentra y se informó. (Miss)




extensión) contenido de los datos no fue encontrado. (Miss)

Periféricos Tarjetas de memoria:NA - El BlackBerry 7780 no permite para los medios extraíbles. (NA)

La consistencia de adquisición:Dos adquisición consecutiva producir diferentes valores hash generales de lamemoria. Los archivos de base de datos individuales adquiridos fueron consistentes. (Meet)

Dispositivos aclarados:Existen dos métodos para realizar un restablecimiento completo en un dispositivoBlackBerry: 1) que no entreguen la frase de paso correcta dentro de 10 intentos, y 2) el acceso al BlackBerryDesktop Manager y despejar todas las bases de datos a través de la copia de seguridad / Restaurar menú avanzado.El primer enfoque obliga al usuario a volver a descargar el sistema operativo antes de que el dispositivo funcionacorrectamente. No se encontraron datos. (Meet)

Los siguientes datos se encuentran después de eliminar un dispositivo a través del gestor de escritorio: los datosPIM (es decir, libreta de direcciones, calendario), Realización / Recepción de llamadas telefónicas y de datos demensajería de Internet (es decir, sujeto / nombre de archivo). (Arriba)


99

Pérdida de energía:El BlackBerry 7780 se repobló con los escenarios anteriores, a continuación, completamentedrenado de toda la energía de la batería y volvió a adquirir. Todos los datos se encontró como se informóanteriormente. (Arriba)

Kyocera 7135Los escenarios siguientes se llevaron a cabo en un Kyocera 7135 que ejecuta la versión Verizon Palm OS4.1.

Conectividad y recuperación:Los contenidos del dispositivo se adquirieron con éxito. Si se aplican losmecanismos de autenticación, la frase de paso correcta tiene que ser proporcionada a fin de iniciar la adquisición.No se encontró información del proveedor de servicio (por ejemplo, ESN, MSID, FCCID) abonado Basic y.Soporte de red y el número de teléfono se encuentran en el archivo NetworkDB y reportados. Dado que la memoriainterna no puede ser adquirido, tamaño de la memoria no se informó y no pudo ser verificada. (Meet)

PIM Aplicaciones:Se encontró que todos los datos PIM (es decir, libreta de direcciones, calendario, tareas,notas) en la base de datos / carpeta (es decir, AddressDB, DatebookDB, ToDoDB, archivos MemoDB)correspondiente e informados. Se encontró que el siguiente eliminado los datos PIM y reportado en asociacióncon la

Entradas de la libreta de direcciones: Nombre de la empresa, que se encuentra en el AddressCompaniesDB y títulos,que se encuentra en el AddressTitlesDB. (Meet)

Realización / Recepción de llamadas telefónicas:Todo marcados / llamadas recibidas fueron encontrados yreportados en el archivo kwc_CallHistoryDB. Llamadas telefónicas eliminados fueron encontrados en el volcadode memoria. (Meet)

SMS / MMS Mensajería:Todos los mensajes SMS entrantes y salientes activas se encuentran en el archivokwc_messages y reportados. Mensajes SMS borrados no se encontraron o reportados. Mensajería MMS no escompatible. (Abajo)

Mensajería de Internet:Todo el contenido de datos asociado conmensajes de correo electrónico enviados yrecibidos se encuentran en el MailDB, pdQmailMsgs y los archivos de mensajes MMPROIII y reportados. No seencontraron mensajes eliminados. (Abajo)

Aplicaciones Web: URL visitadas se encontraron e informó, aunque no se encontraron las búsquedas realizadas.No se encontró contenido Web textual o gráfica relativa a URLs. (Abajo)

Formatos de archivo de texto: Se encontró contenido de datos asociados con archivos de texto (por ejemplo,. Txt,.Doc,. Pdf) e informó de. Txt archivos. Sin embargo,. Pdf y. doc contenido archivo enviado por correo electrónico yHotSync no se encontró en un formato legible. Software necesario que permite a cada uno de los tipos de archivosanteriores para ser

lectura se ha instalado en el dispositivo. Se encuentran los datos de archivos de texto eliminados y reportados

para. Txt archivos. (Meet)

Gráficos Formatos de archivo: Archivo gráfico (es decir,. Bmp,. Jpg,. Gif,. Png,. Tif) Los datos no se

encontró cuando se envían a través de correo electrónico o de HotSync. (Miss)




100

Archivos mal llamada: Archivo mal llamada (por ejemplo,. Txt archivo renombrado con la extensión. dllextensión) que se encontró contenido de datos e informó de archivos basados en texto cuando se envían a travésde correo electrónico. Los tipos de archivos desconocidos no son aceptadas por el protocolo de HotSync. (Meet)

Periféricos Tarjetas de memoria:No hay datos que residen en un MB MMC 128 poblados con varios archivos(Es decir, texto, gráficos, audio, archivos comprimidos, archivos mal llamados) se encontró. (Miss)

La consistencia de adquisición:Dos adquisición consecutiva producir diferentes hashes de los archivossiguientes bases de datos: NetworkDB y preferencias guardadas. (Abajo)

Dispositivos aclarados:A Hard Reset se realiza manteniendo el botón de reinicio mientras pulsa la tecla deiluminación. No se encontraron datos. (Meet)

Pérdida de energía:El Kyocera 7135 se repobló con los escenarios anteriores, a continuación, completamentedrenado de toda la energía de la batería y volvió a adquirir. No se encontraron datos. (Meet)

Motorola MPx220Los escenarios siguientes se llevaron a cabo en un Cingular GSM Motorola MPx220 corriendoMicrosoft Windows Mobile 2004 para Pocket PC Phone Edition.

Conectividad y recuperación:Los contenidos de los datos del dispositivo se reciben con éxito, con o sin la presenteSIM. Si se aplican los mecanismos internos de autenticación de memoria, la frase de paso correcta debe serproporcionado para la conexión ActiveSync a tener lugar. No se encontró información del proveedor de servicio(por ejemplo, IMEI, ICCID, MSISDN) de abonado Basic y. Soporte de red y el número de teléfono se encuentran enel directorio \ Windows y reportados. El tamaño de la memoria informado es consistente con el tamaño total de lamemoria del dispositivo. (Meet)

PIM Aplicaciones:No se encontraron datos PIM (es decir, libreta de direcciones, calendario, tareas, notas).(Miss)

Realización / Recepción de llamadas telefónicas:No se encontraron llamadas marcadas / recibidas. (Miss)

SMS / MMS Mensajería:No se encontraron mensajes SMS. Contenido de los textos de los mensajes MMSentrantes activas fueron encontrados y reportados. No se encontraron archivos adjuntos de MMS. No seencontraron mensajes MMS eliminados. (Abajo)

Mensajería de Internet:Todo el contenido de datos asociado conenviados y se encontró mensajes de correoelectrónico recibidos e informados. No se encontraron mensajes eliminados. (Abajo)

Aplicaciones Web:URL visitadas y consultas en los motores de búsqueda fueron encontrados y reportados. No seencontró contenido Web Pruebas relativas a las direcciones URL visitadas. No se encontraron imágenes gráficasde los sitios visitados. (Abajo)

Formatos de archivo de texto: Se encontró contenido de datos asociados con archivos de texto (por ejemplo,. Txt,.

Doc,. Pdf) y reportado. No se encontraron archivos de texto borrados. (Abajo)


101

Gráficos Formatos de archivo: Archivo de gráficos (es decir,. Bmp,. Jpg,. Gif,. Png,. Tif) que se encontrócontenido de datos e informó. . Png No se encontraron los archivos pero no aparecen en la biblioteca degráficos. No se encontraron archivos gráficos eliminados. (Abajo)

Formatos de archivo comprimido Archivo:Archivo de datos comprimidos (es decir,. Zip,. Avi,. Exe,. Tgz) que se

encontró contenido y reportado. (Meet)


extensión) contenido de datos y se encontró informó. (Meet)

Periféricos Tarjetas de memoria:Los datos que residen en una tarjeta SD de 256 MB Mini poblada con variosarchivos (por ejemplo, texto, gráficos, audio, archivos comprimidos, archivos mal llamados) se encontraron einformaron. No se encontraron los archivos eliminados. (Abajo)

La consistencia de adquisición:Dos adquisición consecutiva producir diferentes valores hash generales de lamemoria. Los archivos individuales adquiridos fueron consistentes. (Meet)

Dispositivos aclarados:A Hard Reset se realiza manteniendo pulsado el botón de acción y presionando el botón deencendido. No se encontraron datos. (Meet)

Pérdida de energía:El Motorola MPx220 se repobló con los escenarios anteriores, a continuación, completamentedrenado de toda la energía de la batería y volvió a adquirir. Se encontró los siguientes datos: mensajes MMS(contenido de texto) y datos de mensajes de Internet (es decir, enviado / recibido correo electrónico). Los archivosindividuales almacenados en el

/ Se encontraron directorio de almacenamiento y informó. (Arriba)

Samsung i700Los escenarios siguientes se llevaron a cabo en un CDMA Samsung i700 Verizon con MicrosoftWindows Mobile 2004 para Pocket PC Phone Edition.

Conectividad y recuperación:Los contenidos del dispositivo se adquirieron con éxito. Si se aplican los mecanismosde autenticación, la frase de paso correcta debe ser proporcionado para la conexión ActiveSync a tener lugar. No seencontró información del proveedor de servicio (por ejemplo, ESN, MSID, FCCID) abonado Basic y. Soporte de redy el número de teléfono se encuentran en el directorio \ Windows y reportados. El tamaño de la memoria informadoes consistente con el tamaño total de la memoria del dispositivo. (Meet)

PIM Aplicaciones:Se encontró que todos los datos PIM (es decir, libreta de direcciones, calendario, tareas,notas) en la base de datos / carpeta (por ejemplo, contactos, citas, tareas, notas de base de datos) y elcorrespondiente comunicado. Se encontró e informaron los datos PIM eliminados. (Meet)

Realización / Recepción de llamadas telefónicas:Todas las llamadas realizadas / recibidas fueron encontradas en labase de datos de la imagen de memoria y obstrucción e informados. Los números de teléfono se encuentranemitiendo el siguiente patrón de búsqueda: (. Aaa) .. ppp-.ssss Llamadas eliminados fueron encontrados en la imagende memoria. (Meet)


102

SMS / MMS Mensajería:Todos los mensajes SMS entrantes y salientes activas se encuentran en laCarpeta \ Windows \ Mensajería y el archivo fldr100171c y reportados. No se encontraron mensajes SMS borrados.MMS no es compatible. (Abajo)

Mensajería de Internet:Todo el contenido de datos asociado conmensajes de correo electrónico enviados yrecibidos se encuentran en el archivo \ Windows \ Mensajería y reportados. Suprimido el contenido del archivo demensajes (por ejemplo, el asunto, el cuerpo del texto) no se ha encontrado. (Abajo)

Aplicaciones Web:URL visitadas y consultas en los motores de búsqueda fueron encontrados y reportados. Seencontró contenido Web Pruebas relativas a las URL y reportado. No hay imágenes gráficas de los sitios visitadosse encontraron o se muestran. (Abajo)

Formatos de archivo de texto: Contenido de los datos asociados a los archivos de texto (es decir,. Txt,. Doc,. Pdf)fue comprobada, se indicará cuando se transfiere a través de correo electrónico y ActiveSync. No se encontró elarchivo de datos de texto borrados. (Abajo)

Gráficos Formatos de archivo: Archivo gráfico (es decir,. Bmp,. Jpg,. Gif,. Png, tif). Nombres de archivos ycontenido de datos se han encontrado y se muestra cuando se envían por correo electrónico y ActiveSync. No seencontró el archivo de datos gráficos eliminados. (Abajo)

Formatos de archivo comprimido Archivo:Nombres de archivos y contenido de datos comprimidos (es decir,.

Zip,. Avi,. Exe,. Tgz) fueron encontrados y reportados cuando se envían por correo electrónico y ActiveSync.

(Meet)


extensión) contenido de datos se encontró cuando se envían por correo electrónico y ActiveSync. (Meet)

Periféricos Tarjetas de memoria:Los datos que residen en una MMC 128 MB poblada con varios archivos (porejemplo, texto, gráficos, audio, archivos comprimidos, archivos mal llamados) se encontraron e informaron. No seencontraron los archivos eliminados. (Abajo)

La consistencia de adquisición:Dos adquisición consecutiva producir diferentes hashes de los archivossiguientes bases de datos: \ Categorías Base de datos, \ ConfigMetabase, SchedSync.dat, DB_notify_events,DB_notify_queue, pmailFolders, pmailMsgClasses, pmailNamedProps, pmailServices y Speed.db. (Abajo)

Dispositivos aclarados:A Hard Reset se realiza manteniendo pulsado el botón de encendido mientras pulsa elbotón de reinicio con el lápiz, y luego soltar el botón de encendido. No se encontraron datos. (Meet)

Pérdida de energía:El Samsung i700 Pocket PC se repobló con los escenarios anteriores y completamentevacía de toda la energía de la batería y volvió a adquirir. No se encontraron datos. (Meet)

PalmOne Treo 600Los escenarios siguientes se llevaron a cabo en el Treo 600 que ejecuta la versión PalmOne Palm OS5.2.1.


103

Conectividad y recuperación:Los contenidos del dispositivo se reciben con éxito, con o sin la presente SIM.Cuando se aplicaron los mecanismos de autenticación, la frase de paso correcta debía ser proporcionado con el fin deiniciar la adquisición. No se encontró información del proveedor de servicio (por ejemplo, IMEI, ICCID, MSISDN)de abonado Basic y. El tamaño de la memoria no se informó y no pudo ser verificada. (Meet)

PIM Aplicaciones:Se encontró que todos los datos PIM activos (es decir, libreta de direcciones,calendario, tareas, notas) en la base de datos / carpeta correspondiente (es decir, AddressDB, DatebookDB,ToDoDB, archivos MemoDB) y reportados. Datos PIM eliminados se encuentran en el archivo de lamemoria. (Meet)

Realización / Recepción de llamadas telefónicas:Todo marcados / llamadas recibidas fueron encontradas en laPhoneCallDBarchivo y reportado. Llamadas telefónicas eliminados fueron encontrados en el archivo de la memoria. (Abajo)

SMS / MMS Mensajería:Se encontró que todos los mensajes SMS activos e informados en el archivoDatabase.pdb Msj. Se encontraron y reportaron los mensajes MMS y nombres de archivo correspondientes.Sin embargo, los archivos multimedia asociados no se puede ver. Mensajes SMS / MMS eliminados fueronencontrados en el archivo de la memoria. (Abajo)

Mensajería de Internet:Todo el contenido de datos asociado conmensajes de correo electrónico enviados yrecibidos se encuentran en el archivo Email_libr_HsMp_BDC79AAB y reportados. Suprimido el contenido delarchivo de mensajes (por ejemplo, el asunto, el cuerpo del texto) no se ha encontrado, pero la dirección decorreo electrónico se encuentra en el archivo EmailAddressDB.pdb. (Abajo)

Aplicaciones Web:URL visitadas y consultas en los motores de búsqueda fueron encontrados y reportados. Seencontró contenido Web Pruebas relativas a las URL y reportado. No hay imágenes gráficas de los sitios visitadosse encontraron o se muestran. (Abajo)

Formatos de archivo de texto: Se encontró contenido de datos asociados con archivos de texto (por ejemplo,. Txt,.Doc,. Pdf) e informó de. Doc y. txt archivos. Sin embargo,. Pdf datos de contenido de archivos enviados por correoelectrónico y sincronizadorno se encontró en un formato legible. Software necesario que permite a cada uno de los tipos de archivos anteriorespara ser leída fue instalado en el dispositivo. Se encontró e informaron los datos del archivo de texto borrados de. Docy. Txt archivos. (Meet)

Gráficos Formatos de archivo: Se encuentran los datos de archivo gráfico (es decir,. Bmp,. Jpg,. Gif,. Png,. Tif)

para los tipos de archivos compatibles con Palm OS. (Abajo)

Formatos de archivo comprimido Archivo:Archivo de datos comprimidos (es decir,. Zip,. Avi,. Exe,. Tgz)contenido no fue encontrado, pero no se encontró el nombre de archivo incluido en el archivo comprimido y reportócuando se envían a través de correo electrónico. (Abajo)

Archivos mal llamada: Archivo mal llamada (por ejemplo,. Txt archivo renombrado con la extensión. dllextensión) que se encontró contenido de datos e informó de archivos basados en texto, pero sólo cuando se envíana través de correo electrónico. Los tipos de archivos desconocidos no son aceptadas por el protocolo de HotSync.(Meet)


104

Periféricos Tarjetas de memoria:No hay datos que residen en un 128 MB MMC poblada con varios archivos(por ejemplo, texto, gráficos, audio, archivos comprimidos, archivos mal llamados) se encontró o reportados.(Miss)

La consistencia de adquisición:Los archivos individuales y las bases de datos que no han sido modificadosmantienen hashes consistentes entre adquisiciones consecutivas. (Meet)

Dispositivos aclarados:A Hard Reset se realiza manteniendo pulsado el botón de reinicio y pulsando la tecla deencendido. No se encontraron datos. (Meet)

Pérdida de energía:El Treo 600 se repobló con los escenarios anteriores, a continuación, completamente drenadode toda la energía de la batería y volvió a adquirir. No se encontraron datos. (Meet)


105

Apéndice B: Device Seizure Resultados - CelularesLos escenarios se realizaron en una recuperación forense de dispositivos de prueba (FRED) con Windows XP SP2.Device Seizure versión 1.1 fue utilizado para adquirir los datos de los siguientes teléfonos celulares: Audiovox8910, Ericsson T68i, LG 4015, Motorola C333, Motorola V66, Motorola V300, Nokia 3390, Nokia 6610i y elSanyo PM8200.

Audiovox 8910Los escenarios siguientes se llevaron a cabo en un pre-pago CMDA Audiovox 8910. Conectividad Device Seizurese estableció mediante la selección de LG (CDMA).

Conectividad y recuperación:Cable de datos Susteen de Data-piloto para móviles Audiovox se utilizó con el finde establecer la conectividad con Device Seizure. Los contenidos del dispositivo protegido por contraseña seadquirieron con éxito. Se encontró información del proveedor de servicio de suscripción Basic y e informados. Nose informó el tamaño de memoria. (Meet)

PIM Aplicaciones:Todos los activos y los restos de los datos PIM eliminados fueron encontrados y reportados en elSección del sistema de archivos. (Meet)

Realización / Recepción de llamadas telefónicas:Todos los activos y eliminados marcados / llamadas recibidasfueron encontrados y reportados en la sección del sistema de archivos. (Meet)

SMS / MMS Mensajería:Todos los SMS entrantes y salientes activos / MMS fueron encontrados y reportados en lasección del sistema de archivos. No se encontraron mensajes eliminados. (Abajo)

Mensajería de Internet: NA - El Audiovox 8910 no es compatible con correo electrónico. (NA)

Aplicaciones Web:URL visitadas fueron encontrados y reportados. No se encontraron consultas en los motores debúsqueda, el contenido textual Web perteneciente a URLs visitadas y las imágenes gráficas de los sitios visitados,.(Abajo)

Formatos de archivo de texto: NA - El Audiovox 8910 no es compatible con archivos de texto (por ejemplo, txt,doc,... Pdf). (NA)

Gráficos Archivos Formato: Una conexión no se pudo establecer que permite la transferencia de archivosgráficos (es decir,. Bmp,. Jpg,. Gif . Png,. Tif) para el Audiovox 8910. Las imágenes fueron creadas a través de lacámara interna. Los archivos gráficos presentes en el dispositivo fueron encontrados y reportados en la sección delsistema de archivos. Las imágenes fueron exportados y ver con una aplicación de terceros. No se encontraronarchivos gráficos eliminados. (Abajo)

Formatos de archivo comprimido Archivo:NA - El Audiovox 8910 no admite archivos comprimidos (porejemplo, zip, rar, exe, tgz....). (NA)

Archivos mal llamada:NA - El Audiovox 8910 no admite archivos mal llamadas (por ejemplo, txt. archivorenombrado con la extensión. dll extensión). (NA)


106

Periféricos Tarjetas de memoria:NA - El Audiovox 8910 no permite para los medios extraíbles. (NA)

La consistencia de adquisición:Todos los hashes de las carpetas individuales fueron consistentes. (Meet)

Dispositivos aclarados:NA - Una función de arranque en frío no es proporcionada por el teléfono. (NA)

Pérdida de energía:El Audiovox 8910 se repobló con los escenarios anteriores, a continuación, completamentedrenado de toda la energía de la batería y volvió a adquirir. Todos los datos se encontró como se informóanteriormente. (Arriba)

Ericsson T68iLos escenarios siguientes se llevaron a cabo en un Sony Ericsson T68i. Device Seizure versión 1.1 se utilizópara la adquisición.

Conectividad y recuperación:Cable de datos Susteen de Data-piloto para los teléfonos Sony Ericsson se utilizócon el fin de establecer la conectividad con Device Seizure. Autenticación adecuada tuvo que ser proporcionadaal dispositivo protegido por contraseña y la tarjeta SIM tuvo que ser insertado antes de contenidos se adquirieroncon éxito. Se encontró información del proveedor de servicio de suscripción Basic y e informados (es decir,IMEI). No se informó el tamaño de memoria. (Meet)

PIM Aplicaciones:Se encontró que todos los datos PIM y reportados (es decir, libreta de direcciones, calendario,tareas). No se encontraron datos PIM eliminados. (Abajo)

Realización / Recepción de llamadas telefónicas:Todas las llamadas realizadas / recibidas fueron encontrados yreportados en elLlamadas telefónicas carpeta. No se encontraron llamadas telefónicas eliminados. (Abajo)

SMS / MMS Mensajería:Todos los mensajes SMS entrantes y salientes activas se encuentran en la carpetaSMS y reportados. No se encontraron mensajes SMS borrados. Mensajes MMS y archivos adjuntos (porejemplo, gráficos, sonidos) no fueron encontrados o reportados. (Abajo)

Mensajería de Internet:Contenido de los datos asociados a los mensajes de correo electrónico enviados yrecibidos no fueron hallados. (Miss)

Aplicaciones Web:No se encontraron URLs visitado, las consultas de búsqueda realizadas, el contenido Webtextual e imágenes gráficas de los sitios visitados. (Miss)

Formatos de archivo de texto: NA - El Sony Ericsson T68i no soporta archivos de texto (por ejemplo, txt, doc,... Pdf). (NA)

Gráficos Archivos Formato: No se encontraron archivos gráficos compatibles (por ejemplo,. Jpg,. Gif) presentes en

el dispositivo. (Miss)

Formatos de archivo comprimido Archivo:NA - El Sony Ericsson T68i no soporta archivoscomprimidos (por ejemplo, zip, rar, exe, tgz....). (NA)


107

Archivos mal llamada:NA - El Sony Ericsson T68i no admite archivos mal llamadas (por ejemplo, txt.archivo renombrado con la extensión. dll extensión). (NA)

Periféricos Tarjetas de memoria:NA - El Sony Ericsson T68i no permite a los medios extraíbles. (NA)


Dispositivos aclarados:A Hard Reset se realizó mediante la selección de Master Reset en el menú deconfiguración. Los datos contenidos en la tarjeta SIM se encontraron e informaron. (Meet)

Pérdida de energía:El Sony Ericsson T68i se repobló con los escenarios anteriores, entonces completamentedrenados de toda la energía de la batería y recobrado. Todos los datos se encontró como se informó anteriormente.(Arriba)

LG 4015Los escenarios siguientes se llevaron a cabo en un LG 4015 GSM. Device Seizure versión 1.1 se utilizó para laadquisición.

Conectividad y recuperación:Los contenidos del dispositivo protegido por contraseña se adquirieron con éxito.No se encontró información del proveedor de servicio de suscripción Basic y. No se informó el tamaño de memoria.(Meet)

PIM Aplicaciones:Fue encontrado datos parciales PIM (es decir, libreta de direcciones, notas) en la base de datos/ carpeta correspondiente (es decir, la agenda, las carpetas Scheduler) y reportados. No se encontraron datos PIMeliminados. (Abajo)


SMS / MMS Mensajería:Todos los SMS entrantes y salientes activas fueron encontrados y reportados. No seencontraron otros datos. (Abajo)

Mensajería de Internet:N.A. - El LG 4015 no es compatible con correo electrónico. (NA)

Aplicaciones Web:No se encontraron datos. (Miss)

Formatos de archivo de texto: NA - El LG 4015 no es compatible con archivos de texto (por ejemplo, txt,

doc, pdf...). (NA)

Gráficos Archivos Formato: NA -... Una conexión no se pudo establecer que permite la transferencia de archivosgráficos (es decir, bmp, jpg, gif . Png,. Tif) para el LG 4015. (NA)

Formatos de archivo comprimido Archivo:NA - El LG 4015 no admite archivos comprimidos (por ejemplo, zip,rar, exe, tgz....). (NA)

Archivos mal llamada:NA - El LG 4015 no admite archivos mal llamadas (por ejemplo, txt. archivo renombradocon la extensión. dll extensión). (NA)


108

Periféricos Tarjetas de memoria:NA - El LG 4015 no permite para los medios extraíbles. (NA)


Dispositivos aclarados: un restablecimiento completo se llevó a cabo mediante la selección de la opciónRestaurar en la seguridadmenú. Se recuperó Todos los datos activos. (Arriba)

Pérdida de energía:El Sanyo PM-8200 se repobló con los escenarios anteriores, a continuación, completamentedrenado de toda la energía de la batería y volvió a adquirir. Todos los datos se encontró como se informóanteriormente. (Arriba)

Motorola C333Los escenarios siguientes se llevaron a cabo en un desbloqueado GSM Motorola C333. Device Seizure versión1.1 se utilizó para la adquisición.

Conectividad y recuperación:Autenticación adecuada tuvo que ser proporcionada al dispositivo protegido porcontraseña y la tarjeta SIM tuvo que ser insertado antes de contenidos se adquirieron con éxito. Se encontróinformación del proveedor de servicio (por ejemplo, IMEI) de abonado Basic y. No se informó el tamaño dememoria. (Meet)

PIM Aplicaciones:Se encontró que todos los datos PIM (es decir, libreta de direcciones, calendario) en la base dedatos / carpeta correspondiente (es decir, la agenda, las carpetas de la agenda) y reportados. Fue encontrado datosPIM eliminados y reportados en la carpeta del sistema de archivos. (Meet)

Realización / Recepción de llamadas telefónicas:Todas las llamadas realizadas / recibidas fueron encontrados yreportados en elLlame carpeta Historial. No se encontraron llamadas telefónicas eliminados. (Abajo)

SMS / MMS Mensajería:Todos los mensajes SMS entrantes y salientes activas se encuentran en la carpeta demensajes SMS y reportados. Mensajes SMS entrantes y salientes eliminados fueron encontrados en los SMS yrápida carpeta de descarga Notes. Mensajes MMS entrantes y salientes se encontraron, pero no los archivosmultimedia asociados. (Meet)

Mensajería de Internet:NA - El Motorola C333 no es compatible con correo electrónico. (NA)

Aplicaciones Web:NA - conectividad a Internet no pudo ser establecida. (NA)

Formatos de archivo de texto: NA - El Motorola C333 no es compatible con archivos de texto (por ejemplo, txt,doc,... Pdf). (NA)

Gráficos Archivos Formato:NA - El Motorola C333 no es compatible con los archivos gráficos (por ejemplo, bmp,.. Jpg,. Gif,. Png,. Tif). (NA)

Formatos de archivo comprimido Archivo:NA - El Motorola C333 no es compatible con archivos comprimidos(por ejemplo, zip, rar, exe, tgz....). (NA)


109

Archivos mal llamada:NA - El Motorola C333 no es compatible con archivos mal llamadas (por ejemplo, txt.archivo renombrado con la extensión. dll extensión). (NA)

Periféricos Tarjetas de memoria:NA - El Motorola C333 no permite para los medios extraíbles. (NA)

La consistencia de adquisición: Todos los hashes de las carpetas individuales fueron consistentes.(Meet)

Dispositivos aclarados:A Hard Reset se realizó mediante la selección de Borrado y Restablecimiento maestro enel menú de configuración. No se encontraron mensajes SMS y Memos y reportados en los SMS y rápida carpetadump notas. (Arriba)

Pérdida de energía:El Motorola C333 se repobló con los escenarios anteriores, a continuación, completamentedrenado de toda la energía de la batería y volvió a adquirir. Todos los datos se encontró como se informóanteriormente. (Arriba)

Motorola V66Los escenarios siguientes se llevaron a cabo en un desbloqueado GSM Motorola V.series 66. DispositivoIncautación versión 1.1 se utilizó para la adquisición.

Conectividad y recuperación:El contenido de dispositivos protegidos con contraseña son éxitoadquirido con o sin la presente SIM sin tener que proporcionar autenticación adecuado. Se encontró información delproveedor de servicio (por ejemplo, IMEI, ICCID, IMSI) de abonado Basic y. No se informó el tamaño de memoria.(Meet)

PIM Aplicaciones:Se encontró que todos los datos PIM (es decir, libreta de direcciones, calendario) en la base dedatos / carpeta correspondiente (es decir, la agenda, las carpetas de la agenda) y reportados. No se encontraron datosPIM eliminados. (Abajo)

Realización / Recepción de llamadas telefónicas:Todas las llamadas realizadas / recibidas fueron encontrados yreportados en elLlame carpeta Historial. No se encontraron llamadas telefónicas eliminados. (Abajo)

SMS / MMS Mensajería:Todos los mensajes SMS entrantes y salientes activas se encuentran en la carpeta demensajes SMS y reportados. No se encontraron mensajes SMS borrados. Mensajería MMS no es compatible.(Abajo)

Mensajería de Internet:N.A. - El Motorola V66 no es compatible con correo electrónico. (NA)


Formatos de archivo de texto: NA - El Motorola V66 no es compatible con archivos de texto (por ejemplo, txt,doc,... Pdf). (NA)

Gráficos Archivos Formato:NA - El Motorola V66 no es compatible con los archivos gráficos (por ejemplo, bmp,.. Jpg,. Gif,. Png,. Tif). (NA)


110

Formatos de archivo comprimido Archivo:NA - El Motorola V66 no es compatible con archivoscomprimidos (por ejemplo, zip, rar, exe, tgz....). (NA)

Archivos mal llamada:NA - El Motorola V66 no es compatible con archivos mal llamadas (por ejemplo, txt.archivo renombrado con la extensión. dll extensión). (NA)

Periféricos Tarjetas de memoria:NA - El Motorola V66 no permite para los medios extraíbles. (NA)


Dispositivos aclarados:A Hard Reset se realizó mediante la selección, el Maestro Borrar / Reiniciar en el menú deconfiguración. Se encontró e informaron datos de SMS y PIM eliminados. (Arriba)

Pérdida de energía:El Motorola V66 se repobló con los escenarios anteriores, a continuación, completamentedrenado de toda la energía de la batería y volvió a adquirir. Todos los datos se encontró como se informóanteriormente. (Arriba)

Motorola V300Los escenarios siguientes se llevaron a cabo en un Pay-As-You-Go GSM Motorola V300. DispositivoIncautación versión 1.1 se utilizó para la adquisición.

Conectividad y recuperación: Autenticación adecuada tuvo que ser proporcionada al dispositivo protegido porcontraseña y la tarjeta SIM tuvo que ser insertado antes de contenidos se adquirieron con éxito. Se encontróinformación del proveedor de servicio de suscripción Basic y e informados (es decir, IMEI, IMSI). No se informó eltamaño de memoria. (Meet)

PIM Aplicaciones:Se encontró que todos los datos PIM (es decir, libreta de direcciones, calendario) en la base dedatos / carpeta correspondiente (por ejemplo, contactos, carpetas Calendario) y reportados. No se encontraron datosPIM eliminados. (Abajo)

Realización / Recepción de llamadas telefónicas: Todas las llamadas realizadas / recibidas fueron encontrados yreportados en elCarpeta de las llamadas. No se encontraron llamadas telefónicas eliminados. (Abajo)

SMS / MMS Mensajería:Todos los mensajes SMS entrantes y salientes activas se encuentran en la carpeta demensajes SMS y reportados. Mensajes SMS salientes eliminados fueron encontrados en los SMS y rápida carpeta dedescarga Notes. No se encontraron e informaron mensajes y archivos adjuntos de MMS (es decir, los gráficos, losbytes de sonido). (Meet)

Mensajería de Internet:Mensajes de correo electrónico entrantes / salientes fueron encontrados y reportados.No se encontraron mensajes eliminados y reportados en el volcado de memoria prima. (Meet)


Formatos de archivo de texto: Contenido de los datos asociados a los archivos de texto (es decir,. Txt,. Doc,. Pdf)

no se encontró cuando se envían a través de correo electrónico. El nombre de archivo y la línea de asunto del correo

se encuentra y se informó. (Miss)


111

Gráficos Archivos Formato: Una conexión no se pudo establecer que permite la transferencia de archivosgráficos (es decir,. Bmp,. Jpg,. Gif . Png,. Tif) para el Motorola V300. Las imágenes fueron creadas a través de lacámara interna. Los archivos gráficos fueron encontrados y reportados. (Meet)

Formatos de archivo comprimido Archivo:NA - El Motorola V300 no es compatible con archivos comprimidos(por ejemplo, zip, rar, exe, tgz....). (NA)

Archivos mal llamada: Archivo mal llamada (por ejemplo,. Txt archivo renombrado con la extensión. dllextensión) contenido de los datos no se encontró cuando se envían a través de correo electrónico. El nombre dearchivo y la línea de asunto del correo se encuentra y se informó. (Miss)



Dispositivos aclarados:A Hard Reset se realizó mediante la selección del Borrado y Master Cambiar opciones enel menú de configuración. Se recuperaron los mensajes SMS. (Arriba)


Nokia 3390Los escenarios siguientes se llevaron a cabo en un Nokia 3390 GSM. Device Seizure versión 1.1 se utilizó para laadquisición.

Conectividad y recuperación:Los contenidos del dispositivo protegidas por contraseña se reciben con éxito,con o sin la presente SIM proporcionar autenticación de memoria interna adecuada. Se encontró informaciónbásica proveedor de abonado y servicios (es decir, IMEI). No se informó el tamaño de memoria. (Meet)

PIM Aplicaciones:Se encontró que todos los datos PIM y reportados (es decir, Agenda, Calendario). SuprimidoNo se encontraron datos PIM. (Abajo)

Realización / Recepción de llamadas telefónicas:Todas las llamadas realizadas / recibidas fueron encontrados yreportados en elLlamadas telefónicas carpeta. No se encontraron llamadas telefónicas eliminados. (Abajo)

SMS / MMS Mensajería:Todos los mensajes SMS entrantes activas se encuentran en la carpeta SMS yreportados. No se encontraron mensajes SMS salientes. No se encontraron mensajes SMS borrados. MensajesMMS no son compatibles. (Abajo)

Mensajería de Internet:N.A. - El Nokia 3390 no es compatible con correo electrónico. (NA)

Aplicaciones Web:El Nokia 3390 no es compatible con la navegación por la Web, pero permite una instantáneaMensajería. No se encontraron datos. (Miss)


112

Formatos de archivo de texto: NA - El Nokia 3390 no es compatible con archivos de texto (por ejemplo, txt,

doc, pdf...). (NA)

Gráficos Archivos Formato: NA - El Nokia 3390 no es compatible con los archivos gráficos (por ejemplo, bmp,jpg,... Gif,. Png,. Tif). (NA)

Formatos de archivo comprimido Archivo:NA - El Nokia 3390 no es compatible con archivoscomprimidos de archivos (por ejemplo, zip, rar, exe, tgz.....) (NA)

Archivos mal llamada:NA - El Nokia 3390 no es compatible con archivos mal llamadas (por ejemplo, txt.archivo renombrado con la extensión. dll extensión). (NA)

Periféricos Tarjetas de memoria:NA - El Nokia 3390 no permite para los medios extraíbles. (NA)


Dispositivos aclarados: NA - Una función de arranque en frío no son proporcionados por el teléfono. (NA)

La pérdida de energía: El Nokia 3390 se repobló con los escenarios anteriores, entonces completamentedrenado de todo el poder de la batería y recobrado. Todos los datos se encontró como se informó anteriormente.(Arriba)

Nokia 6610iLos escenarios siguientes se llevaron a cabo en una GSM desbloqueado Nokia 6610i. Device Seizure versión1.1 se utilizó para la adquisición.

Conectividad y recuperación:Autenticación correcta debía ser proporcionada al dispositivo protegido porcontraseña cuando el SIM estuvo presente, aunque la adquisición se ha realizado correctamente y sin la tarjeta SIM.Se encontró información del proveedor de servicio de suscripción Basic y e informados (es decir, IMEI). No seinformó el tamaño de memoria. (Meet)

PIM Aplicaciones:Se encontró que todos los datos PIM y reportados (es decir, Agenda, Calendario). SuprimidoNo se encontraron datos PIM. (Abajo)

Realización / Recepción de llamadas telefónicas:Todas las llamadas realizadas / recibidas fueron encontrados yreportados en elCall Logs. No se encontraron llamadas telefónicas eliminados. (Abajo)

SMS / MMS Mensajería:Todos los mensajes SMS entrantes y salientes activas se encuentran en la carpetaHistorial SMS y reportados. No se encontraron mensajes MMS activos y los archivos asociados (por ejemplo,archivos gráficos, audio). No se encontraron mensajes SMS / MMS eliminados. (Abajo)

Mensajería de Internet:N.A. - El Nokia 6610i no es compatible con correo electrónico. (NA)

Aplicaciones Web:URL visitadas se encontraron e informó, aunque no se encontraron las búsquedas realizadas.No se encontró contenido Web Pruebas relativas a las direcciones URL visitadas. No hay imágenes gráficas de lossitios visitados se encontraron y se muestra. (Abajo)


113

Formatos de archivo de texto: Contenido de los datos asociados a los archivos de texto (es decir,. Txt,. Doc,. Pdf)fue comprobada, se indicará en la carpeta del sistema de archivos y puede ser visto después de guardar en la estaciónde trabajo forense. No se encontraron archivos de texto borrados. (Abajo)

Gráficos Archivos Formato: Se encontraron y reportaron los archivos gráficos (por ejemplo,. Bmp,. Jpg,. Gif,.

Png, tif.) Presentes en el dispositivo. No se encontraron archivos gráficos eliminados. (Abajo)

Formatos de archivo comprimido Archivo:Archivo de datos comprimidos (es decir,. Zip,. Avi,. Exe,. Tgz) que seencontró contenido y reportado en la carpeta del sistema de archivos y se puede ver después de guardar en laestación de trabajo forense. (Meet)

Archivos mal llamada: Archivos mal llamada (por ejemplo,. Txt archivo renombrado con la extensión. dllextensión) se han encontrado y reportado en la carpeta del sistema de archivos y puede ser visto con la correctaaplicación después de guardar en la estación de trabajo forense. (Meet)

Periféricos Tarjetas de memoria:NA - El Nokia 6610i no permite para los medios extraíbles. (NA)


Dispositivos aclarados: NA - Una función de arranque en frío no son proporcionados por el teléfono. (NA)

La pérdida de energía: El Nokia 6610i se repobló con los escenarios anteriores, entonces completamentedrenado de todo el poder de la batería y recobrado. Todos los datos se encontró como se informó anteriormente.(Arriba)

Sanyo PM-8200Los escenarios siguientes se llevaron a cabo en un CMDA Sanyo 8200. Conectividad Device Seizure se estableciómediante la selección de LG (CDMA).

Conectividad y recuperación:Los contenidos del dispositivo protegido por contraseña se adquirieron con éxito.Se encontró información del proveedor de servicio de suscripción Basic y e informados. No se informó el tamañode memoria. (Meet)

PIM Aplicaciones:Se encontró que todos los datos PIM activos e informados en la carpeta correspondiente (porejemplo, Agenda, Calendario). Entradas de Tareas fueron encontrados y reportados en la sección del sistema dearchivos. Se encontró contacto datos PIM eliminados y reportados en la sección del sistema de archivos. Restosde datos de Calendar borrada y entradas de Tareas fueron encontrados y reportados en la sección del sistema dearchivos. (Meet)

Realización / Recepción de llamadas telefónicas: Todos los activos y eliminados marcados / llamadasrecibidas fueron encontrados y reportados en la sección del sistema de archivos. (Meet)

SMS / MMS Mensajería:Todos los SMS entrantes y salientes activas y MMS salientes (contenido textual)fueron encontrados y reportados en la sección del sistema de archivos. No se encontraron mensajes SMS / MMSsalientes eliminados (contenido textual) y reportados en la sección del sistema de archivos. No se encontraronmensajes MMS entrantes (es decir, el contenido textual). (Meet)


114

Mensajería de Internet:Contenido de los datos asociados a enviados y no se encontró mensajes de correoelectrónico recibidos. (Miss)

Aplicaciones Web:Visitado el URL o web contenidos de titularidad de los sitios visitados no fueron hallados.(Miss)

Formatos de archivo de texto: NA - La Sanyo PM-8200 no es compatible con archivos de texto (por ejemplo, txt,doc,... Pdf). (NA)

Gráficos Archivos Formato: Una conexión no se pudo establecer que permite la transferencia de archivosgráficos (es decir,. Bmp,. Jpg,. Gif . Png,. Tif) para el Sanyo PM-8200. Las imágenes fueron creadas a través de lacámara de fotos. No se encontraron archivos gráficos presentes en el dispositivo. (Miss)

Formatos de archivo comprimido Archivo:NA - Las PM-8200 no es compatible con archivos comprimidosSanyo (por ejemplo, zip, rar, exe, tgz....). (NA)

Archivos mal llamada:NA - La Sanyo PM-8200 no admite archivos mal llamadas (por ejemplo, txt. archivorenombrado cona. dll extensión). (NA)

Periféricos Tarjetas de memoria:NA - La Sanyo PM-8200 no permite para los medios extraíbles. (NA)


Dispositivos aclarados: un restablecimiento completo se llevó a cabo mediante la selección la opciónReiniciar del menú de seguridad. Se recuperó Todos los datos activos. (Arriba)



115

Apéndice C:. GSM XRY ResultadosLos escenarios se realizaron en una recuperación forense de dispositivos de prueba (FRED) con Windows XPSP2. . GSM XRY versión 3.0 fue utilizado para adquirir los datos de los siguientes teléfonos móviles: EricssonT68i, Motorola C333, Motorola V66, Motorola V300, Nokia 6610i, Nokia

6200 y Nokia 7610.

Ericsson T68iLos escenarios siguientes se llevaron a cabo en un Sony Ericsson T68i. GSM. XRY versión 3.0 se utilizó para laadquisición.

Conectividad y recuperación:Autenticación adecuada tuvo que ser proporcionada al dispositivo protegido porcontraseña y la tarjeta SIM tuvo que ser insertado antes de contenidos se adquirieron con éxito. Se encontróinformación del proveedor de servicio de suscripción Basic y e informados (es decir, IMEI, IMSI). No se informó eltamaño de memoria. (Meet)

PIM Aplicaciones:Se encontró que todos los datos PIM (es decir, libreta de direcciones, calendario, tareas) enla base de datos / carpeta (por ejemplo, contactos, carpetas Calendario, Tareas) correspondiente y reportados.No se encontraron datos PIM eliminados. (Abajo)

Realización / Recepción de llamadas telefónicas:Todas las llamadas realizadas / recibidas fueron encontrados yreportados en elCarpeta de las llamadas. No se encontraron llamadas telefónicas eliminados. (Abajo)

SMS / MMS Mensajería:Todos los mensajes SMS entrantes y salientes activas se encuentran en la carpetaSMS y reportados. No se encontraron mensajes SMS borrados. Mensajes y archivos adjuntos de MMS (esdecir, los gráficos, los bytes de sonido) no fueron encontrados o reportados. (Abajo)

Mensajería de Internet:No se encontró contenido de datos asociado con mensajes de correo electrónico enviadosy recibidos. (Miss)








116


La consistencia de adquisición:NA - Esta firma no es un hash de los datos del dispositivo, pero la identidad delexaminador. (NA)

Dispositivos aclarados:A Hard Reset se realiza seleccionando Restablecer ajustes y Restablecer todo en el menúde configuración. No se encontraron datos. (Meet)


Motorola C333Los escenarios siguientes se llevaron a cabo en un desbloqueado GSM Motorola C333. GSM. XRYversión 3.0 se utilizó para la adquisición.

Conectividad y recuperación:El contenido de dispositivos protegidos con contraseña son éxitoadquirido con o sin la presente SIM sin tener que proporcionar autenticación adecuado. Se encontró información delproveedor de servicio de suscripción Basic y e informados (es decir, IMEI, IMSI). No se informó el tamaño dememoria. (Meet)


Realización / Recepción de llamadas telefónicas:Todas las llamadas realizadas / recibidas fueron encontrados yreportados en elCarpeta de las llamadas. No se encontraron llamadas telefónicaseliminados. (Abajo)

SMS / MMS Mensajería:Todos los mensajes SMS entrantes y salientes activas se encuentran en la carpetaSMS y reportados. No se encontraron mensajes SMS borrados. MMS no es compatible. (Abajo)

Mensajería de Internet:NA - El Motorola C333 no es compatible con correo electrónico.(NA)


Formatos de archivo de texto: NA - El Motorola C333 no es compatible con archivos de texto (por ejemplo,txt, doc,... Pdf). (NA)

Gráficos Archivos Formato:NA - El Motorola C333 no es compatible con los archivos gráficos (por ejemplo,bmp,.. Jpg,. Gif,. Png,. Tif). (NA)

Formatos de archivo comprimido Archivo: NA - El Motorola C333 no es compatible con archivoscomprimidos (por ejemplo, zip, rar, exe, tgz....). (NA)


117

Archivos mal llamada:NA - El Motorola C333 no es compatible con archivos mal llamadas (por ejemplo, txt.archivo renombrado con la extensión. dll extensión). (NA)



Dispositivos aclarados:A Hard Reset se realizó mediante la selección de Borrado y Restablecimiento maestro enel menú de configuración. No se encontraron mensajes SMS y reportados en la carpeta SMS. (Arriba)


Motorola V66Los escenarios siguientes se llevaron a cabo en un desbloqueado GSM Motorola V.series 66. GSM. XRYversión 3.0 se utilizó para la adquisición.

Conectividad y recuperación:El contenido de dispositivos protegidos con contraseña son éxitoadquirido con o sin la presente SIM sin tener que proporcionar autenticación adecuado. Se encontró información delproveedor de servicio de suscripción Basic y e informados (es decir, IMEI, IMSI). No se informó el tamaño dememoria. (Meet)


Realización / Recepción de llamadas telefónicas:Todas las llamadas realizadas / recibidas fueron encontrados yreportados en elCarpeta de las llamadas. No se encontraron llamadas telefónicaseliminados. (Abajo)

SMS / MMS Mensajería:Todos los mensajes SMS entrantes y salientes activas se encuentran en la carpetaSMS y reportados. No se encontraron mensajes SMS borrados. MMS no es compatible. (Abajo)

Mensajería de Internet:N.A. - El Motorola V66 no es compatible con correo electrónico.(NA)


Formatos de archivo de texto: NA - El Motorola V66 no es compatible con archivos de texto (por ejemplo,txt, doc,... Pdf). (NA)

Gráficos Archivos Formato:NA - El Motorola V66 no es compatible con los archivos gráficos (por ejemplo,bmp,.. Jpg,. Gif,. Png,. Tif). (NA)


118





Dispositivos aclarados:A Hard Reset se realizó mediante la selección de Master Reset en el menú deconfiguración. No se encontraron datos. (Meet)


Motorola V300Los escenarios siguientes se llevaron a cabo en un Pay-As-You-Go GSM Motorola V300. GSM. XRYversión 3.0 se utilizó para la adquisición.

Conectividad y recuperación:Autenticación adecuada tuvo que ser proporcionada al dispositivo protegido porcontraseña y la tarjeta SIM tuvo que ser insertado antes de contenidos se adquirieron con éxito. Se encontróinformación del proveedor de servicio de suscripción Basic y e informados (es decir, IMEI, IMSI). No se informó eltamaño de memoria. (Meet)


Realización / Recepción de llamadas telefónicas:Todas las llamadas realizadas / recibidas fueron encontrados yreportados en elCarpeta de las llamadas. No se encontraron llamadas telefónicas eliminados. (Abajo)

SMS / MMS Mensajería: Todos los mensajes SMS entrantes y salientes activas se encuentran en la carpetaSMS y reportados. No se encontraron mensajes SMS borrados. Mensajes y archivos adjuntos de MMS (esdecir, los gráficos, los bytes de sonido) no fueron encontrados o reportados. (Abajo)

Mensajería de Internet:Mensajes de correo electrónico entrantes / salientes fueron encontrados y reportados.Registros de chat yNo se encontraron mensajes eliminados. (Abajo)



no se encontró cuando se envían a través de correo electrónico. El nombre de archivo y la línea de asunto del correo

se encuentra y se informó. (Miss)


119

Gráficos Archivos Formato: Una conexión no se pudo establecer que permite la transferencia de archivosgráficos (es decir,. Bmp,. Jpg,. Gif . Png,. Tif) para el Motorola V300. Las imágenes fueron creadas a través de lacámara de fotos. No se encontraron datos. (Miss)


Archivos mal llamada: Archivo mal llamada (por ejemplo,. Txt archivo renombrado con la extensión. dllextensión) contenido de los datos no se encontró cuando se envían a través de correo electrónico. El nombre dearchivo y la línea de asunto del correo se encuentra y se informó. (Miss)



Dispositivos aclarados:A Hard Reset se realizó mediante la selección del Borrado y Master Cambiar opciones enel menú de configuración. Se recuperaron los mensajes SMS. (Arriba)


Nokia 6610iLos escenarios siguientes se llevaron a cabo en una GSM desbloqueado Nokia 6610i. GSM. Versión XRY3.0 se utilizó para la adquisición.

Conectividad y recuperación:Autenticación correcta debía ser proporcionada al dispositivo protegido porcontraseña antes de contenidos se adquirieron con éxito. Los contenidos del dispositivo se reciben con éxito, con osin la presente SIM. Información del proveedor de servicio de suscripción de base yfue encontrado y reportado (es decir, IMEI, IMSI). No se informó el tamaño de memoria. (Meet)

PIM Aplicaciones:Se encontró que todos los datos PIM (es decir, libreta de direcciones, calendario) en la base dedatos / carpeta (por ejemplo, contactos, calendario) correspondiente y reportados. No se encontraron datos PIMeliminados. (Abajo)

Realización / Recepción de llamadas telefónicas: Todas las llamadas realizadas / recibidas fueron encontrados yreportados en elCarpeta de las llamadas. No se encontraron llamadas telefónicas eliminados. (Abajo)

SMS / MMS Mensajería:Todos los mensajes SMS entrantes y salientes activas se encuentran en la carpeta demensajes SMS y reportados. No se encontraron mensajes SMS / MMS eliminados. Restos de datos textuales de losmensajes MMS recibidos se encuentran en la carpeta de archivos. Los datos adjuntos de MMS se encontró en laimagen y carpetas de audio. (Abajo)



120

Aplicaciones Web:URL visitadas y consultas en los motores de búsqueda fueron encontrados y reportados. No seencontró contenido Web Pruebas relativas a URLs. No hay imágenes gráficas de los sitios visitados se encontraron ose muestran. (Abajo)

Formatos de archivo de texto: Se encontró contenido de datos asociados con archivos de texto (por ejemplo,. Txt,.Doc,. Pdf) y reportado en la carpeta Archivos y podría ser visto después de guardar en la estación de trabajo forense.No se encontraron archivos de texto borrados. (Abajo)

Gráficos Archivos Formato: No se encontraron archivos gráficos (es decir,. Bmp,. Jpg,. Gif,. Png, tif.) Presentes

en el dispositivo y reportados en la carpeta Imágenes. No se encontraron archivos gráficos eliminados. (Abajo)

Formatos de archivo comprimido Archivo:Archivo de datos comprimidos (es decir,. Zip,. Avi,. Exe,. Tgz) que seencontró contenido y reportado en la carpeta de archivos y se puede ver después de guardar en la estación de trabajoforense. (Meet)

Archivos mal llamada: Archivos mal llamada (por ejemplo,. Txt archivo renombrado con la extensión. dllextensión) se han encontrado y reportado en la carpeta de archivos y puede ser visto con la correcta aplicacióndespués de guardar en la estación de trabajo forense. (Meet)




Pérdida de energía:El Nokia 6610i se repobló con los escenarios anteriores, entonces completamentedrenados de toda la energía de la batería y recobrado. Todos los datos se encontró como se informóanteriormente. (Arriba)

Nokia 6200Los escenarios siguientes se llevaron a cabo en un Nokia 6200 GSM. GSM. XRY versión 3.0 se utilizó para laadquisición.

Conectividad y recuperación:Autenticación correcta debía ser proporcionada al dispositivo protegido porcontraseña antes de contenidos se adquirieron con éxito. Los contenidos del dispositivo se reciben con éxito, con osin la presente SIM. Información del proveedor de servicio de suscripción de base yfue encontrado y reportado (es decir, IMEI). No se informó el tamaño de memoria. (Meet)

PIM Aplicaciones: Se encontró que todos los datos PIM (es decir, libreta de direcciones, calendario, tareas) en labase de datos / carpeta correspondiente (es decir, Contactos, Calendario, Notas) y reportados. No se encontrarondatos PIM eliminados. (Abajo)

Realización / Recepción de llamadas telefónicas:Marcadas / llamadas recibidas fueron encontrados yreportados. No se encontraron llamadas telefónicas eliminados. (Abajo)


121

SMS / MMS Mensajería:No se encontraron e informaron todos los mensajes de texto SMS entrantes y salientesactivas. No se encontraron mensajes SMS / MMS eliminados. No se encontraron mensajes MMS con archivosadjuntos (por ejemplo, gráficos, archivos de audio). (Abajo)

Mensajería de Internet: NA El Nokia 6200 no es compatible con correo electrónico. (NA)


Formatos de archivo de texto: Se encontró contenido de datos asociados con archivos de texto (por ejemplo,. Txt,.Doc,. Pdf) y reportado en la carpeta Archivos y podría ser visto después de guardar en la estación de trabajo forense.No se encontraron archivos de texto borrados. (Abajo)




Archivos mal llamada: Archivos mal llamada (por ejemplo,. Txt archivo renombrado con la extensión. dllextensión) se han encontrado y reportado en la carpeta de archivos y puede ser visto con la correcta aplicacióndespués de guardar en la estación de trabajo forense. (Meet)




Pérdida de energía:El Nokia 6200 se vuelve a llenar con los escenarios anteriores, a continuación,completamente drenado de toda la energía de la batería y volvió a adquirir. Todos los datos se encontró comose informó anteriormente. (Arriba)

Nokia 7610Los escenarios siguientes se llevaron a cabo en un Nokia 7610 GSM con Symbian OS. GSM. XRY versión 3.0 se utilizó para la adquisición.

Conectividad y recuperación:GSM. XRY pudo adquirir contenido de los datos a través de un cable de interfaz.Por lo tanto, Bluetooth se utiliza para la adquisición. Autenticación correcta debía ser proporcionada al dispositivoprotegido por contraseña con el fin de activar Bluetooth para permitir la conectividad con la red GSMUnidad. XRY. La tarjeta SIM debe estar presente para la adquisición, pero la autenticación no tendrá que serproporcionada. Se encontró información del proveedor de servicio de suscripción Basic y e informados (es decir,IMEI, IMSI). No se informó el tamaño de memoria. (Meet)


122

PIM Aplicaciones:Se encontró que todos los datos PIM (es decir, libreta de direcciones, calendario, tareas) en labase de datos / carpeta correspondiente (es decir, Contactos, Calendario, Notas) y reportados. No se encontrarondatos PIM eliminados. (Abajo)


SMS / MMS Mensajería:No se encontraron entrantes y salientes de SMS / mensajes de texto MMS (esdecir, el contenido basado en texto). (Miss)



Formatos de archivo de texto: Contenido de los datos asociados con archivos de texto (es decir,. Txt. pdf, . Doc)

fueron encontrados y reportados en la carpeta Notes. Archivo de texto eliminados no fueron hallados. (Abajo)

Gráficos Archivos Formato: No se encontraron archivos gráficos (por ejemplo,. Bmp,. Jpg,. Gif,. Png, tif.)

Presentes en el dispositivo y reportados en la carpeta Imágenes. No se encontraron archivos gráficos eliminados.

(Abajo)


Archivos mal llamada: Archivos mal llamada (por ejemplo,. Txt archivo renombrado con la extensión. dll

extensión) se han encontrado y reportado en la carpeta Notes. (Meet)

Periféricos Tarjetas de memoria:Los datos que residen en un 64 MB MMC poblada con varios archivos (porejemplo, texto, gráficos, audio, archivos mal llamados) fueron encontrados y reportados. No se encontraron datosborrados. (Abajo)


Dispositivos aclarados:A Hard Reset se realizó introduciendo * # 7370 # seguido de la tecla de llamada. No seencontraron datos de la memoria interna del teléfono. Los datos de población en la tarjeta MMC se encontró yreportados. (Meet)

Pérdida de energía:El Nokia 7610 se repobló con los escenarios anteriores, a continuación, completamentedrenado de toda la energía de la batería y volvió a adquirir. Todos los datos se encontró como se informóanteriormente. (Arriba)


123

Apéndice D: SecureView ResultadosLos escenarios fueron realizados en una estación de trabajo forense con Windows XP SP2. SecureView versión 1.5.0se utilizó para la adquisición de datos a partir de los siguientes teléfonos celulares: Audiovox 8910, Ericsson T68i,LG4015, Motorola C333, Motorola V66, Motorola V300, Nokia 6200 y un Sanyo 8200 a través de un cable deenlace de datos.

Audiovox 8910Los escenarios siguientes se llevaron a cabo en un pre-pago CMDA Audiovox 8910.

Conectividad y Recuperación: El contenido de dispositivos protegidos con contraseña se adquirieron con éxitocuando la autenticaciónSe proporcionan mecanismoscon la presente SIM. No se encontraron datos. (Miss)

Ericsson T68iLos escenarios siguientes se llevaron a cabo en un desbloqueado Sony Ericsson T68i. Conectividad se estableciómediante cable Sony Ericsson Conejo de Susteen.

Conectividad y recuperación:El contenido de dispositivos protegidos con contraseña son éxitoadquiridas cuando los mecanismos de autenticación se les proporcionó la presente SIM. No se ha encontrado

información básica de abonado (es decir, de IMEI / ESN). No se informó el tamaño de memoria. (Meet)

PIM Aplicaciones: Todas las entradas de la libreta de teléfono activos almacenados en la memoria interna delteléfono fueron encontrados y reportados. No se informaron los registros guardados en la tarjeta SIM. No seencontraron entradas del calendario activo. No se encontraron datos PIM eliminados. (Abajo)


SMS / MMS Mensajería:No se encontraron e informaron todos los mensajes SMS entrantes y salientesactivas. No se encontraron mensajes SMS borrados. Mensajes y archivos adjuntos de MMS (es decir, losgráficos, los bytes de sonido) no fueron encontrados o reportados. (Abajo)






Formatos de archivo comprimido Archivo: NA - El Sony Ericsson T68i no soporta archivoscomprimidos (por ejemplo, zip, rar, exe, tgz....). (NA)


124



La consistencia de adquisición:NA - SecureView no proporciona un algoritmo de hash interna para los archivosindividuales o de adquisición de teléfono general. (NA)



LG4015Los escenarios siguientes se llevaron a cabo en un LG4015. Conectividad se estableció medianteLG2 cable Camel de Susteen.

Conectividad y recuperación:Los contenidos del dispositivo protegido por contraseña se adquirieron conéxito. Se encontró información básica de abonado (es decir, IMEI / ESN). No se informó el tamaño dememoria. (Meet)

PIM Aplicaciones:Todas las entradas de la libreta de teléfono activos almacenados en la memoria interna delteléfono y la tarjeta SIM se encontraron e informaron. No se encontraron entradas del calendario activo. No seencontraron datos PIM eliminados. (Abajo)

Realización / Recepción de llamadas telefónicas:No se encontraron llamadas marcadas /recibidas. (Miss)

SMS / MMS Mensajería:No se encontraron datos. (Miss)

Mensajería de Internet:N.A. - El LG 4015 no es compatible con correo electrónico.(NA)

Aplicaciones Web:No se encontraron datos. (Miss)

Formatos de archivo de texto: NA - El LG 4015 no es compatible con archivos de texto (por ejemplo, txt,

doc, pdf...). (NA)

Gráficos Archivos Formato: NA -... Una conexión no se pudo establecer que permite la transferencia de archivosgráficos (es decir, bmp, jpg, gif . Png,. Tif) para el LG 4015. (NA)

Formatos de archivo comprimido Archivo:NA - El LG 4015 no admite archivos comprimidos (por ejemplo, zip,rar, exe, tgz....). (NA)


125

Archivos mal llamada:NA - El LG 4015 no admite archivos mal llamadas (por ejemplo, txt. archivo renombradocon la extensión. dll extensión). (NA)

Periféricos Tarjetas de memoria:NA - El LG 4015 no permite para los medios extraíbles. (NA)


Dispositivos aclarados: un restablecimiento completo se llevó a cabo mediante la selección de la opciónRestaurar en la seguridadmenú. Se recuperó Todos los datos activos. (Arriba)


Motorola C333Los escenarios siguientes se llevaron a cabo en un Motorola C333 teléfono GSM desbloqueado.Conectividad se estableció utilizando Motorola cable Scorpion de Susteen 2.

Conectividad y recuperación:Los contenidos del dispositivo protegido por contraseña se adquirieron con éxitocon SIM presente y proporcionando la autenticación apropiada. Se encontró información básica abonado (esdecir IMEI / ESN) e informó. No se informó el tamaño de memoria. (Meet)

PIM Aplicaciones:Todas las entradas de la libreta de teléfono activos fueron encontrados y reportados. No seencontraron entradas del calendario activo. No se encontraron datos PIM eliminados. (Abajo)



Mensajería de Internet:NA - El Motorola C333 no es compatible con correo electrónico. (NA)


Formatos de archivo de texto: NA - El Motorola C333 no es compatible con archivos de texto (por ejemplo, txt,doc,... Pdf). (NA)

Gráficos Archivos Formato:NA - El Motorola C333 no es compatible con los archivos gráficos (por ejemplo, bmp,.. Jpg,. Gif,. Png,. Tif). (NA)

Formatos de archivo comprimido Archivo:NA - El Motorola C333 no es compatible con archivos comprimidos(por ejemplo, zip, rar, exe, tgz....). (NA)

Archivos mal llamada:NA - El Motorola C333 no es compatible con archivos mal llamadas (por ejemplo, txt.

archivo renombrado con la extensión. dll extensión). (NA)


126



Dispositivos aclarados:A Hard Reset se realizó mediante la selección de la opción Reinicio General en elmenú de configuración. No se encontraron datos. (Meet)


Motorola V66Los escenarios siguientes se llevaron a cabo en un Motorola V.series 66 GSM teléfono desbloqueado.Conectividad se estableció utilizando Motorola cable Pingüino de Susteen 2.

Conectividad y recuperación:Los contenidos del dispositivo protegido por contraseña se adquirieron con éxitocon el actual SIM. Se encontró información básica abonado (es decir IMEI / ESN) e informó. No se informó eltamaño de memoria. (Meet)



SMS / MMS Mensajería:No se encontraron e informaron todos los mensajes SMS entrantes y salientes activas.No se encontraron mensajes SMS borrados. MMS no es compatible. (Abajo)








127



Dispositivos aclarados:A Hard Reset se realiza seleccionando la opción Borrar Maestro en el menú deconfiguración. No se encontraron datos. (Meet)


Motorola V300Los escenarios siguientes se llevaron a cabo en un Motorola V300 GSM teléfono desbloqueado.Conectividad se estableció utilizando Motorola cable Pingüino de Susteen 2.

Conectividad y recuperación:Autenticación adecuada tuvo que ser proporcionada al dispositivo protegido porcontraseña y la tarjeta SIM tuvo que ser insertado antes de contenidos se adquirieron con éxito. Se encontróinformación básica abonado (es decir IMEI / ESN) e informó. No se informó el tamaño de memoria. (Meet)



SMS / MMS Mensajería:No se encontraron e informaron todos los mensajes SMS entrantes y salientesactivas. Eliminados los datos del mensaje MMS (es decir, las imágenes, los bytes de sonido) SMS y no seencontraron. (Abajo)

Mensajería de Internet:No se encontraron datos. (Miss)


Formatos de archivo de texto: Contenido de los datos asociados a los archivos de texto (por ejemplo,. Txt,.

Doc,. Pdf) no fue encontrado. (Miss)

Gráficos Archivos Formato: Una conexión no se pudo establecer que permite la transferencia de archivos gráficos(por ejemplo,. Bmp,. Jpg,. Gif . Png,. Tif) para el Motorola V300. Las imágenes fueron creadas utilizando la cámarade fotos. Se encontró e informaron los datos de Active. (Meet).



128

Archivos mal llamada:NA - El Motorola V300 no admite archivos mal llamadas (por ejemplo, txt. archivorenombrado con la extensión. dll extensión). (NA)





Nokia 6200Los escenarios siguientes se llevaron a cabo en un Nokia 6200 GSM teléfono. Conectividad se establecióutilizando Nokia cable Cobra Susteen 2.

Conectividad y recuperación:Los contenidos del dispositivo protegido por contraseña se adquirieron con éxitocon SIM presente y proporcionando la autenticación apropiada. Se encontró información básica abonado (esdecir IMEI / ESN) e informó. No se informó el tamaño de memoria. (Meet)



SMS / MMS Mensajería:No se encontraron e informaron todos los mensajes SMS entrantes y salientesactivas. Activo MMS y mensajes SMS / MMS borrados no se encontraron. (Abajo)


Aplicaciones Web: No se encontraron URLs visitado, las consultas de búsqueda realizadas, el contenido Webtextual e imágenes gráficas de los sitios visitados. (Miss)


no fue encontrado. (Miss)






129


extensión) no fueron hallados. (Miss)





Sanyo PM-8200Los escenarios siguientes se llevaron a cabo en un CMDA Sanyo 8200. Conectividad se estableció utilizando Sanyocable "Perro" de Susteen.

Conectividad y recuperación:Los contenidos del dispositivo protegido por contraseña se adquirieron con éxito.Se encontró información básica abonado (es decir IMEI / ESN) e informó. No se informó el tamaño de memoria.(Meet)

PIM Aplicaciones: Todas las entradas de la libreta de teléfono activos fueron encontrados y reportados. No seencontraron entradas del calendario activo. No se encontraron datos PIM eliminados. (Abajo)


SMS / MMS Mensajería:No se encontraron mensajes SMS / MMS. (Miss)


Aplicaciones Web:Contenido de los datos asociados a las aplicaciones web (es decir, las direcciones URLvisitadas, gráficos, etc) no fueron hallados. (Miss)

Formatos de archivo de texto:NA - La Sanyo PM-8200 no es compatible con archivos de texto (por ejemplo, txt,doc,... Pdf). (NA)

Gráficos Archivos Formato: Una conexión no se pudo establecer que permite la transferencia de archivosgráficos (es decir,. Bmp,. Jpg,. Gif . Png,. Tif) para el Sanyo PM-8200. Las imágenes fueron creadas a través de lacámara de fotos. Los archivos gráficos presentes en el dispositivo fueron encontrados y reportados. No seencontraron archivos gráficos eliminados. (Abajo)

Formatos de archivo comprimido Archivo:NA - Las PM-8200 no es compatible con archivos comprimidosSanyo (por ejemplo, zip, rar, exe, tgz....). (NA)


130

Archivos mal llamada:NA - La Sanyo PM-8200 no admite archivos mal llamadas (por ejemplo, txt. archivorenombrado con la extensión. dll extensión). (NA)

Periféricos Tarjetas de memoria:NA - La Sanyo PM-8200 no permite para los medios extraíbles. (NA)


Dispositivos aclarados:A Hard Reset se realizó mediante la selección de la opción Reiniciar del menú deseguridad. Se recupera todos los datos activos. (Arriba)



131

Apéndice E: PhoneBase2 ResultadosLos escenarios fueron realizados en una estación de trabajo forense con Windows XP SP2. Phonebase2 versión1.2.0.15 fue utilizado para la adquisición de datos a partir de los siguientes teléfonos móviles: Ericsson T68i,Motorola V66, Motorola V300 y Nokia 6610i a través de un cable de enlace de datos.

Ericsson T68iLos escenarios siguientes se llevaron a cabo en un Sony Ericsson T68i.

Conectividad y recuperación:Autenticación adecuada tuvo que ser proporcionada al dispositivo protegido porcontraseña y la tarjeta SIM tuvo que ser insertado antes de contenidos se adquirieron con éxito. Se encontróinformación del proveedor de servicio de suscripción Basic y e informados (es decir, IMEI). No se informó eltamaño de memoria. (Meet)

PIM Aplicaciones:Fue encontrado datos parciales PIM y reportados (es decir, la libreta de direcciones).Calendario, tareas y entradas de borrado de datos PIM no se encontraron. (Abajo)

Realización / Recepción de llamadas telefónicas:Todo marcados / llamadas recibidas fueron encontradosy reportados. No se encontraron llamadas telefónicas eliminados. (Abajo)


Mensajería de Internet:Contenido de los datos asociados a los mensajes de correo electrónico enviados yrecibidos no fueron hallados. (Miss)









132

La consistencia de adquisición: NA - PhoneBase2 no proporciona un algoritmo de hash interna para losarchivos individuales o de adquisición de teléfono general. (NA)

Dispositivos aclarados:A Hard Reset se realizó mediante la selección de Master Reset en el menú deconfiguración. No se encontraron datos. (Meet)


Motorola V66Los escenarios siguientes se llevaron a cabo en un Motorola V.series 66 GSM teléfono desbloqueado.Conectividad se estableció utilizando Motorola cable Pingüino de Susteen 2.

Conectividad y recuperación:Los contenidos del dispositivo protegidas por contraseña se reciben con éxito, cono sin la presente SIM. Se encontró información básica abonado (es decir, IMEI) y reportado. No se informó eltamaño de memoria. (Meet)

PIM Aplicaciones:Fue encontrado datos parciales PIM y reportados (es decir, la libreta de direcciones).Calendario, tareas y entradas de borrado de datos PIM no se encontró (continuación)


SMS / MMS Mensajería:No se encontraron e informaron todos los mensajes SMS entrantes y salientes activas.No se encontraron mensajes SMS borrados. MMS no es compatible. (Abajo)









133

La consistencia de adquisición:NA - PhoneBase2 no proporciona un algoritmo de hash interna para losarchivos individuales o de adquisición de teléfono general. (NA)



Motorola V300Los escenarios siguientes se llevaron a cabo en un Motorola V300 GSM teléfono desbloqueado.Conectividad se estableció utilizando Motorola cable Pingüino de Susteen 2.

Conectividad y recuperación:Autenticación adecuada tuvo que ser proporcionada al dispositivo protegido porcontraseña y la tarjeta SIM tuvo que ser insertado antes de contenidos se adquirieron con éxito. Se encontróinformación básica abonado (es decir, IMEI) y reportado. No se informó el tamaño de memoria. (Meet)

PIM Aplicaciones:Fue encontrado datos parciales PIM y reportados (es decir, la libreta de direcciones).Calendario, tareas y entradas de borrado de datos PIM no se encontraron (continuación)


SMS / MMS Mensajería:No se encontraron e informaron todos los mensajes SMS entrantes y salientesactivas. Eliminados los datos del mensaje MMS (es decir, las imágenes, los bytes de sonido) SMS y no seencontraron. (Abajo)

Mensajería de Internet:No se encontraron datos. (Miss)








134





Nokia 6610iLos escenarios siguientes se llevaron a cabo en un Nokia 6610i a través de IrDA.

Conectividad y recuperación:Autenticación adecuada tuvo que ser proporcionada al dispositivo protegido porcontraseña y la tarjeta SIM tuvo que ser insertado antes de contenidos se reciben con éxito, a través de IrDA.PhoneBase2 no admite un cable de interfaz de enlace de datos para el Nokia 6610i. Se encontró información delproveedor de servicio de suscripción Basic y e informados (es decir, IMEI). No se informó el tamaño de memoria.(Meet)

PIM Aplicaciones:Fue encontrado datos parciales PIM y reportados (es decir, la libreta de direcciones). No seencontraron entradas del calendario, tareas y datos PIM eliminados. (Abajo)






fue comprobada, se indicará con una aplicación de terceros apropiada. (Meet)

Gráficos Archivos Formato: No se encontraron archivos gráficos (por ejemplo,. Bmp,. Jpg,. Gif,. Png,. Tif) yreportados con una aplicación de terceros apropiada. No se encontró el archivo de datos gráficos eliminados.(Abajo)

Formatos de archivo comprimido Archivo:Archivo de datos comprimidos (es decir,. Zip,. Avi,. Exe,. Tgz) que se

encontró contenido, se indicará con una aplicación de terceros apropiada. (Meet)


135


extensión) se encontraron, se indicará con una aplicación de terceros apropiada. (Meet)






136

Apéndice F: CellDEK ResultadosLos escenarios se realizaron en la estación de trabajo forense CellDEK. Versiones CellDEK 1.3.0.0- 1.3.1.0 se utilizaron para la adquisición de datos a partir de los siguientes teléfonos móviles: Ericsson T68i,Motorola

MPX220, Motorola V66, Motorola V300, Nokia 6610i y Nokia 6200.

Ericsson T68iLos escenarios siguientes se llevaron a cabo en un Sony Ericsson T68i a través de un cable de enlace dedatos. CellDEK versión 1.3.0.0 se utilizó para la adquisición.

Conectividad y recuperación:Autenticación adecuada tuvo que ser proporcionada al dispositivo protegido porcontraseña y la tarjeta SIM tuvo que ser insertado antes de contenidos se adquirieron con éxito. Se encontróinformación del proveedor de servicio de suscripción Basic y e informados (es decir, IMEI). No se informó eltamaño de memoria. (Meet)

PIM Aplicaciones:Se encontró que todos los datos PIM y reportados (es decir, libreta de direcciones, calendario,tareas). No se encontraron datos PIM eliminados. (Abajo)



Mensajería de Internet:Contenido de los datos asociados a enviadoy no se encontraron mensajes de correoelectrónico recibidos. (Miss)









137

La consistencia de adquisición:CellDEK no proporciona un hash global del expediente del caso. Sin embargo, loshashes de los elementos de datos individuales son consistentes después volver a las adquisiciones posteriores. (Meet)



Motorola MPx220Los escenarios siguientes se llevaron a cabo en un Cingular GSM Motorola MPx220 con Microsoft WindowsMobile 2004 para Pocket PC Phone Edition. CellDEK versión 1.3.1.0 se utilizó para la adquisición.

Conectividad y recuperación:Autenticación correcta debía ser proporcionada al dispositivo protegido porcontraseña antes de contenidos se adquirieron con éxito. Se encontró información del proveedor de servicio desuscripción básica y e informaron (es decir, IMSI, IMEI) con o sin la presente SIM.No se informó el tamaño de memoria. (Meet)

PIM Aplicaciones:Fue encontrado datos parciales PIM y reportados (es decir, libreta de direcciones,calendario). No se encontraron los datos y tareas PIM eliminados. (Abajo)



Mensajería de Internet:Se encontró e informaron datos de correo electrónico entrantes y salientes activas. Datos oarchivos adjuntos eliminadosno se encontraron. (Abajo)




Gráficos Formatos de archivo: Archivo de gráficos (es decir,. Bmp,. Jpg,. Gif,. Png,. Tif) que se encontró

contenido de datos e informó. No se encontraron archivos gráficos eliminados. (Abajo)




extensión) contenido de los datos no se encontró e informó. (Miss)


138

Periféricos Tarjetas de memoria:Los datos que residen en una tarjeta SD de 256 MB Mini poblada con variosarchivos (por ejemplo, texto, gráficos, audio, archivos comprimidos, archivos mal llamados) se encontraron einformaron. No se encontraron los archivos eliminados. (Abajo)



Pérdida de energía:El Motorola MPx220 se repobló con los escenarios anteriores, a continuación, completamentedrenado de toda la energía de la batería y volvió a adquirir. Se encontró los siguientes datos: mensajes MMS(contenido de texto) y datos de mensajes de Internet (es decir, enviado / recibido correo electrónico). Los archivosindividuales almacenados en el/ Se encontraron directorio de almacenamiento y informó. (Arriba)

Motorola v66Los escenarios siguientes se llevaron a cabo en un Motorola v66 través de un cable de enlace de datos. CellDEKversión 1.3.1.0 se utilizó para la adquisición.

Conectividad y recuperación:Autenticación correcta debía ser provista cuando los mecanismos de autenticación sehan habilitado en el SIM. Sin embargo, los datos fueron capturados cuando se emplearon mecanismos deautenticación (es decir, las cerraduras de la memoria interna) con el presente SIM. Adquisición tuvo éxito si la tarjetaSIM está ausente. Se encontró información del proveedor de servicio de suscripción Basic y e informados (porejemplo, IMSI, IMEI). No se informó el tamaño de memoria. (Meet)










139


Periféricos Tarjetas de memoria:NA - El Motorola v66 no permite para los medios extraíbles. (NA)



Pérdida de energía:El Motorola v66 se repobló con los escenarios anteriores, a continuación, completamentedrenado de toda la energía de la batería y volvió a adquirir. Todos los datos se encontró como se informóanteriormente. (Arriba)

Motorola v300Los escenarios siguientes se llevaron a cabo en un Motorola v300 a través de un cable de enlace de datos. CellDEKversión 1.3.1.0 se utilizó para la adquisición.

Conectividad y recuperación:Autenticación adecuada tuvo que ser proporcionada al dispositivo protegido porcontraseña y la tarjeta SIM tuvo que ser insertado antes de contenidos se adquirieron con éxito.Sin embargo, fueron capturados los datos parciales (es decir, las imágenes captadas a través de la cámara interna)cuando se emplearon mecanismos de autenticación (es decir, las cerraduras de la memoria interna, los bloqueosSIM), aunque Error # 1 AT-CCLK se informó en la pantalla de vista de datos. Se encontró información delproveedor de servicio de suscripción Basic y e informados (por ejemplo, IMSI, IMEI). No se informó el tamañode memoria. (Meet)




Mensajería de Internet:Activo entrante y se encontró e informaron datos de correo electrónico salientes. No seencontraron datos o archivos adjuntos eliminados. (Abajo)





140




Periféricos Tarjetas de memoria:NA - El Motorola v66 no permite para los medios extraíbles. (NA)



Pérdida de energía:El Motorola v300 se repobló con los escenarios anteriores, a continuación, completamentedrenado de toda la energía de la batería y volvió a adquirir. Todos los datos se encontró como se informóanteriormente. (Arriba)

Nokia 6200Los escenarios siguientes se llevaron a cabo en un Nokia 6200 a través de IrDA. CellDEK versión 1.3.1.0 seutilizó para la adquisición.

Conectividad y recuperación:Autenticación adecuada tuvo que ser proporcionada al dispositivo protegido porcontraseña y la tarjeta SIM tuvo que ser insertado antes de contenidos se reciben con éxito, a través de IrDA,CellDEK no proporciona una interfaz de cable de enlace de datos para el Nokia 6200. Se encontró información delproveedor de servicio de suscripción Basic y e informados (es decir, IMEI). No se informó el tamaño de memoria.(Meet)



SMS / MMS Mensajería: No se encontraron e informaron todos los mensajes SMS entrantes y salientesactivas. Activo MMS y mensajes SMS / MMS borrados no se encontraron. (Abajo)




141



Gráficos Archivos Formato: Se encontraron y reportaron los archivos gráficos (por ejemplo,. Bmp,. Jpg,. Gif,.Png). Eliminados los datos de archivos gráficos y. Tif No se encontraron archivos. (Abajo)









Nokia 6610iLos escenarios siguientes se llevaron a cabo en un Nokia 6610i a través de IrDA. CellDEK versión 1.3.0.0 seutilizó para la adquisición.

Conectividad y recuperación:Autenticación adecuada tuvo que ser proporcionada al dispositivo protegido porcontraseña y la tarjeta SIM tuvo que ser insertado antes de contenidos se reciben con éxito, a través de IrDA,CellDEK no proporciona una interfaz de cable de enlace de datos para el Nokia 6610i. Se encontró información delproveedor de servicio de suscripción Basic y e informados (es decir, IMEI, IMSI). No se informó el tamaño dememoria. (Meet)







142



Gráficos Archivos Formato: Se encontraron y reportaron los archivos gráficos (por ejemplo,. Bmp,. Jpg,. Gif,.Png). Eliminados los datos de archivos gráficos y. Tif No se encontraron archivos. (Abajo)










143

Apéndice G: SIM Incautación - externos SIM ResultadosLos escenarios se realizaron en una recuperación forense de dispositivos de prueba (FRED) con Windows XPSP2. SIM apoderamiento versión 1.0 build 2468.18222 fue utilizado con lector de tarjetas SIM de paraben paraadquirir datos de un SIM poblada.

SIM 5343Los escenarios siguientes se llevaron a cabo usando un T-Mobile SIM. Nombre del proveedor de servicio (SPN)No se asignó. No se presentaron FPLMN.

Datos básicos: Se encontró y comunicaron los siguientes datos: IMSI, ICCID, preferencia de idioma (LP), númerosde marcación abreviada (ADN), los últimos números marcados (LND) y activa / borra los mensajes SMS. El ICCIDy LP tenían que ser decodificado de forma manual para la interpretación. Las entradas de ADN que contienencaracteres especiales (por ejemplo, "@") se muestran como una cadena vacía. (Abajo)

Datos de ubicación:Todos los loci y datos LOCIGPRS fue encontrado y reportado, pero tuvo que ser decodificadode forma manual para la interpretación. (Meet)

EMS Data:Activo / borrados entrantes Mensajes EMS que tengan más de 160 caracteres fueron encontrados yreportados. Los mensajes que contengan imágenes incrustadas (es decir, 16x16, 32x32 y gráficos en negro blanco)fueron encontrados y reportados. (Meet)

Relaciones Data Idioma: ADN entradas y mensajes SMS que contengan caracteres de idiomas francesesy asiáticos fueron encontrados y reportados correctamente. (Meet)

SIM 8778Los escenarios siguientes se llevaron a cabo utilizando un Cingular SIM. Nombre del proveedor de servicio (SPN)No se asignó. No se presentaron FPLMN.






144

SIM 1144Los escenarios siguientes se llevaron a cabo usando una SIM AT & T. Nombre del proveedor de servicio (SPN)No se asignó. No se presentaron FPLMN.






145

Apéndice H:. GSM XRY - externos SIM ResultadosLos escenarios se realizaron en una recuperación forense de dispositivos de prueba (FRED) con Windows XPSP2. GSM. XRY versión 3.0 se utiliza con el Systemation Micro SIM Card Reader para adquirir datos de unSIM poblada.


Datos básicos: Se encontró y comunicaron los siguientes datos: IMSI, ICCID, preferencia de idioma (LP),números de marcación abreviada (ADN), los últimos números marcados (LND) y activa / borra los mensajesSMS entrantes. (Meet)

Datos de ubicación:Se encontró que todos los datos de loci y reportado, pero tuvo que ser decodificado deforma manual para la interpretación. No se encontraron datos GPRSLOCI. (Abajo)



SIM 8778Los escenarios siguientes se llevaron a cabo utilizando un Cingular SIM. Nombre del proveedor de servicio(SPN)fue asignado pero no activado. No se presentaron FPLMN.







146






147

Apéndice I: SecureView - SIM externos ResultadosLos escenarios se realizaron en una recuperación forense de dispositivos de prueba (FRED) con Windows XPSP2. SecureView versión 1.5.0 se utiliza con un PC / SC SIM lector de tarjetas para adquirir datos de un SIMpoblada.


Datos básicos: Se encuentran los siguientes datos e informó: Números de marcación abreviada (ADN). Lossiguientes datos no se encontró: IMSI, ICCID último número, marcación (LND), el mensaje SMS entrante activa,preferencia de idioma (LP) y mensajes SMS borrados. (Abajo)

Datos de ubicación: No se encontraron datos.(Miss)

EMS Data:No se encontraron datos. (Miss)

Relaciones Data Idioma:Las entradas de ADN que contienen caracteres de idiomas franceses y asiáticos fueronencontrados, pero no se muestran correctamente. (Abajo)

SIM 8778Los escenarios siguientes se llevaron a cabo utilizando un Cingular SIM. Nombre del proveedor de servicio(SPN)fue asignado pero no activado. No se presentaron FPLMN.









148




149

Apéndice J: PhoneBase2 - SIM externos ResultadosLos escenarios se realizaron en una recuperación forense de dispositivos de prueba (FRED) con Windows XPSP2. PhoneBase2 versión 1.2.0.15 fue usado con un PC / SC SIM lector de tarjetas para adquirir datos de unSIM poblada.


Datos básicos: Se encontró y comunicaron los siguientes datos: IMSI, ICCID, números de marcación abreviada(ADN), los últimos números marcados (LND) y mensajes SMS activos y eliminados. Los siguientes datos no seencontró: preferencia de idioma (LP). Sin embargo, la parte de las multinacionales de la IMSI, un valor de tresdígitos, se tradujo incorrectamente y elementos de datos de ADN no se decodifica excluyendo la última entrada.(Abajo)

Datos de ubicación:Se encontró e informaron todos los datos loci. Sin embargo, la porción de MNC de la LAIfue traducida incorrectamente. No se encontraron datos GPRSLOCI. (Abajo)

EMS Data: Activos y eliminados Mensajes EMS entrantes que tengan más de 160 caracteres fueron encontrados yreportados. Se encontró un mensaje EMS que contiene una imagen incrustada. Sin embargo, la imagen no se hadecodificado correctamente y presentado, aunque el texto era. (Abajo)

Relaciones Data Idioma: ADN entradas y mensajes SMS que contienen caracteres del idioma francés fueronencontrados y reportados. Sin embargo, las entradas de ADN y los mensajes SMS que contengan caracteresde idiomas asiáticos no se muestran correctamente en la interfaz de usuario o el informe generado. (Abajo)

SIM 8778Los escenarios siguientes se llevaron a cabo utilizando un Cingular SIM. Nombre del proveedor de servicio (SPN)fue asignado pero no activado. No se presentaron FPLMN.

Datos básicos: Se encontró y comunicaron los siguientes datos: IMSI, ICCID, números de marcación abreviada(ADN), los últimos números marcados (LND) y mensajes SMS activos y eliminados. No se encontraron datos depreferencia de idioma (LP). Sin embargo, la porción de MNC de la IMSI, un valor de tres dígitos, se traduce deforma incorrecta y elementos de datos de ADN no se decodifica con la excepción de la última entrada. (Abajo)

Datos de ubicación:Se encontró e informaron todos los datos loci. Sin embargo, la porción de MNC de la LAIfue incorrectamente descodificado. No se encontraron datos GPRSLOCI. (Abajo)



150

Relaciones Data Idioma: ADN entradas y mensajes SMS que contienen caracteres del idioma francés fueronencontrados y reportados. Sin embargo, las entradas de ADN y los mensajes SMS que contengan caracteresde idiomas asiáticos no se muestran correctamente en la interfaz de usuario o el informe generado. (Abajo)


Datos básicos: Se encontró y comunicaron los siguientes datos: IMSI, ICCID, números de marcación abreviada(ADN), los últimos números marcados (LND) y mensajes SMS activos y eliminados. No se encontraron datos depreferencia de idioma (LP). Sin embargo, la porción de MNC de la IMSI, un valor de tres dígitos, se ha decodificadoincorrectamente e informó de ADN y elementos de datos no se decodifica con la excepción de la última entrada.(Abajo)

Datos de ubicación:Se encontró e informaron todos los datos loci. Sin embargo, la porción de MNC de la LAIfue incorrectamente descodificado. No se encontraron datos GPRSLOCI. (Abajo)


Relaciones Data Idioma: ADN entradas y mensajes SMS que contienen caracteres del idioma francés fueronencontrados y reportados. Sin embargo, las entradas de ADN y los mensajes SMS que contengan caracteres deidiomas asiáticos no se visualicen correctamente ni en la interfaz de usuario o en el informe generado. (Abajo)


151

Apéndice K: CellDEK - SIM externos ResultadosLos escenarios se realizaron en la terminal CellDEK con Windows XP SP2. CellDEK versión 1.3.1.0 se utiliza conPC interna de CellDEK / SC SIM lector de tarjetas para adquirir datos de un SIM poblada.


Datos básicos: Se encontró y comunicaron los siguientes datos: IMSI, ICCID, números de marcación abreviada(ADN), los últimos números marcados (LND) y los mensajes SMS entrantes activos y eliminados. Los siguientesdatos no se encontró: preferencia de idioma (LP). (Abajo)

Datos de ubicación: No se encontraron datos. (Miss)

EMS Data: Se encontraron y reportaron los mensajes entrantes activas EMS que tengan más de 160 caracteres. Seencontró un mensaje EMS que contiene una imagen incrustada. Sin embargo, la imagen no se ha decodificadocorrectamente y presentado, aunque el texto era. No se encontraron mensajes EMS eliminados. (Abajo)

Relaciones Data Idioma: ADN entradas y mensajes SMS que contienen caracteres del idioma francés fueronencontrados y reportados. Sin embargo, las entradas de ADN y los mensajes SMS que contengan caracteres deidiomas asiáticos no se muestran correctamente en la interfaz de usuario, a pesar de los mensajes SMS aparecencorrectamente en el archivo. Rtf informe generado. (Abajo)

SIM 8778Los escenarios siguientes se llevaron a cabo utilizando un Cingular SIM. Nombre del proveedor de servicio (SPN)fue asignado pero no activado. No se presentaron FPLMN.

Datos básicos: Se encontró y comunicaron los siguientes datos: IMSI, ICCID, números de marcación abreviada(ADN), los últimos números marcados (LND) y los mensajes SMS entrantes activas. Los siguientes datos no seencontró: preferencia de idioma (LP) y mensajes SMS borrados. La porción inicial de la IMSI se adjuntóincorrectamente a la ICCID informado. (Abajo)


EMS Data: Se encontraron y reportaron activos mensajes EMS entrantes que excedían 160 caracteres. Se encontróun mensaje EMS que contiene una imagen incrustada. Sin embargo, la imagen no se ha decodificado correctamentey presentado, aunque el texto era. No se encontraron mensajes EMS eliminados. (Abajo)



152


Datos básicos: Se encontró y comunicaron los siguientes datos: IMSI, ICCID, números de marcación abreviada(ADN), los últimos números marcados (LND) y mensajes SMS activas. Los siguientes datos no se encontró:preferencia de idioma (LP) y mensajes SMS borrados. La porción inicial de la IMSI se adjuntó incorrectamente ala ICCID informado. (Abajo)


EMS Data: Se encontraron y reportaron los mensajes entrantes activas EMS que tengan más de 160 caracteres. Seencontró un mensaje EMS que contiene una imagen incrustada. Sin embargo, la imagen no se ha decodificadocorrectamente y presentado, aunque el texto era. No se encontraron mensajes EMS eliminados. (Abajo)



153

Apéndice L: USIMdetective - externos SIM ResultadosLos escenarios se realizaron en una recuperación forense de dispositivos de prueba (FRED) con Windows XPSP2. USIM apoderamiento versión 1.3.1 se utiliza con un PC / SC SIM lector de tarjetas para adquirir datosde un SIM poblada.


Datos básicos: Se encontró y comunicaron los siguientes datos: IMSI, ICCID, preferencia de idioma (LP),números de marcación abreviada (ADN), los últimos números marcados (LND) y activa / borra los mensajesSMS. (Meet)

Datos de ubicación:Todos los loci y datos LOCIGPRS se encontraron e informaron. (Meet)

EMS Data:Activo / borrados entrantes Mensajes EMS que tengan más de 160 caracteres fueron encontrados yreportados. No se encontraron mensajes que contienen imágenes incrustadas (es decir, 16x16, 32x32 negro y losgráficos blancos), pero no se muestran las imágenes. (Abajo)

Relaciones Data Idioma: ADN entradas y mensajes SMS que contienen caracteres franceses fueron encontrados yreportados. Los mensajes y entradas de ADN que contienen caracteres asiáticos no se han presentadocorrectamente. (Abajo)

SIM 8778Los escenarios siguientes se llevaron a cabo utilizando un Cingular SIM. Nombre del proveedor de servicio(SPN)No se asignó. No se presentaron FPLMN.







154






Cell Phone Forensic Tools

Documents

Transcript of Cell Phone Forensic Tools