Android - rdebikkhu/forensic GitHub Wiki

¿Cuál es el fabricante y modelo del dispositivo al que pertenece la imagen? en el archivo build.prop ubicado en /system/build.prop obtenemos la siguiente info:

ro.product.system.manufacturer=Google y en /vendor/build.prop ro.product.vendor.device=blueline ro.product.vendor.manufacturer=Google ro.product.vendor.model=Pixel 3 ro.product.vendor.name=blueline Cuál es el número de compilación (build ID) del sistema operativo? ¿Y la versión de Android?

en /vendor/build.prop ro.vendor.build.id=QQ1A.200105.003 ro.vendor.build.version.release=10

/system/build.prop ro.system.build.id=QQ1A.200105.003 ro.system.build.version.release=10

Extrae el número de teléfono móvil asociado a la SIM que se conectó a este dispositivo. ¿Aparece el IMSI y el operador móvil (APN)? IMSI = International Mobile Subscriber Identity. Es un identificador único de tu suscripción móvil (tu tarjeta SIM). Se usa en la red del operador para identificar al abonado cuando el teléfono se registra en la red. Normalmente tiene hasta 15 dígitos y se compone de:

MCC (Country Code, 3 dígitos)

MNC (Operator Code, 2–3 dígitos)

MSIN (identificador del suscriptor, el resto de dígitos)

/data/user_de/0/com.android.providers.telephony/databases/ en la base de datos de telephony.db encontramos la tabla siminfo de la que obtenemos dos numeros de telefono

6513381146 310260974867669 google fi +19195794674 310120405730709

¿Recibió el dispositivo alguna alerta de emergencia recientemente? Para responder esta pregunta data/user_de/0/com.android.cellbroadcastreceiver/databases en la tabla broadcast: NWS: FLASH FLOOD WARNING this area til 7:30 PM EST. Avoid flooded areas. 1581024912012

  1. ¿Cuál es el PIN o patrón de desbloqueo del dispositivo? /data/system/locksettings en la tbla locksettings tiene que haber un campo

¿Qué contactos se encuentran en la agenda del dispositivo? Extrae también sus metadatos asociados (e.j., fecha de creación, último uso).

contacts2.db /data/data/com.android.providers.contacts/databases/contacts2.db

Extrae los registros de llamadas entradas, salientes y perdidas. ¿Qué número de teléfono aparece con más frecuencia? ¿Cuál es la llamada de más duración?

calllog.db /data/data/com.android.providers.contacts/databases/calllog.db

+19195790479 91

¿Hay algún número de teléfono bloqueado?

3/data/user_de/0/com.android.providers.blockednumber/databases/blockednumbers.db

¿Qué mensajes SMS/MMS pueden recuperarse? Indica su contenido, emisor, fecha y hora. mmssms.db /data/data/com.android.providers.telephony/databases/mmssms.db

El usuario mandó una imagen de un meme usando WhatsApp. ¿Puedes localizar dicha imagen? /data/media/0/WhatsApp/Media/WhatsApp Image

/data/data/com.whatsapp/files/key clave de cifrado de wathsapp

ver historial de descargas: downloads.db /data/data/com.android.providers.downloads/databases/downloads.db