Incident Response, Security and Forensics"

.

jueves, 30 de abril de 2009

Análisis forense - MOTOROLA (II)

Hola lectores,

Vamos a seguir con lo hablado en el anterior post.

Continuando con el análisis al móvil motorola vamos a proceder a realizar el siguiente paso

Obtención del PIN del SIM

Antes de nada quiero explicar como funciona la estructura de módulos de un motorola.

Los motorolas tienen unas zonas llamadas 'SEEM' que no son más que archivos hexadecimales que controlan las funciones básicas del teléfono.

A partir de su edición con programas con soporte hexadecimal o de edición de seems o únicamente dedicados a esta finalidad (P2KCommander) podemos activar, desactivar o modificar funciones (a menudo ocultas) del teléfono.

Estas funciones normalmente se encuentran en la flex (CG2) Como se explico en el anterior post

Estas son algunos ejemplos de las seems que se encuentran normalmente en un Motorola:

"0000","SEEM_PHASING_VERSION"
"0001","SEEM_PA_PHASING_CONFIGURATION"
"0002","SEEM_DB_SHORTCUT"
"0003","SEEM_DFLT_CARD_SLOT_CONFIGURATION"
"0004","SEEM_IMEI"
"0005","SEEM_IMEISV"
"0006","SEEM_PA_CALIBRATION"
"0007","SEEM_PA_POWER_CUTS"
"0008","SEEM_PA_CALIBRATION_BAND_2"
"0009","SEEM_PA_CALIBRATION_BAND_3"
"000A","SEEM_AGC_MINIMUM_PWR_LEVEL"
"000B","SEEM_AGC_TABLE"
"000C","SEEM_AGC_TABLE_BAND_2"
"000D","SEEM_AGC_TABLE_BAND_3"
"000E","SEEM_AGC_EGSM_TABLE"
"000F","SEEM_AFC_ADJUST"
"0010","SEEM_AFC_ADJUST_BAND_2"
"0011","SEEM_FACTORY_SERIAL_NUMBER"
"0012","SEEM_FACTORY_INFO"
"0013","SEEM_FACTORY_MAXIMUM_POWER_CLASS"
"0014","SEEM_FACTORY_MAXIMUM_POWER_CLASS_BAND_ 2"
"0015","SEEM_FACTORY_MAXIMUM_POWER_CLASS_BAND_ 3"
"0016","SEEM_FACTORY_TRACKING_INFO"
"0017","SEEM_FACTORY_SUBSIDY_FLAG"
"0018","SEEM_CLASSMARK"

****** CONTENIDO TRUNCADO, DADO QUE ES MUY LARGO ********************


Entre ellos el más interesante es el "0074","PHONE_UNLOCK_CODE" ya que contiene el código de desbloqueo que permite acceder al teléfono móvil.

Para extraer el PIN vamos a emplear una utilidad llamada 'P2KCommander' que permite acceder a diversos bloques de memoria y sistema de ficheros, una vez localizada la zona '0074' se procede a volcarla en un fichero sobre el disco duro de Windows y posteriormente se ejecuta el comando 'strings' el cual revelara en texto el PIN a buscar.

En el siguiente vídeo vemos como se realiza la anterior descripción.



Para el siguiente post veremos como obtener datos de la agenda, SMS's y llamadas.