Ho avuto alcuni anni di esperienza con il giro degli hacker negli ambienti mobili, ecco alcuni dei metodi e delle note che possono aiutarti ad accelerare e mantenere il tuo hardware un po 'più sicuro mentre esegui le tue indagini.
Per la modalita 'generale delle minacce e lo sniffing della rete, potresti voler controllare la mia risposta postata alla domanda di rilevando se un telefono è segretamente invio di dati rumore dovrà essere settato anche se se il dispositivo di destinazione non è compatibile con le opzioni firewall non root suggerite lì e assicurati di prestare attenzione al malware di riferimento che salta da un PC connesso ad Android a USB prima di tentare di collegare USB forense. Un'altra opzione che non penso di aver elencato è che il monitoraggio / avvelenamento della ricerca DNS può aiutare a smistare il traffico delle app legittime dal traffico non autorizzato.
Small warning, while I've not seen it in the wild it's very possible that the infected device could attempt to attack the Wi-Fi networks it comes across, so consider making a VAP (Virtual Access Point) to separate the network of the infected device from anything else while performing MiTM investigations. Metasploit and others aren't too difficult to install on Android so be very cautious of that infected device sneezing on others.
Ora, poiché hai affermato che il traffico di rete è rumoroso e probabilmente finirai per collegarlo a una USB per l'imaging, ti consigliamo di considerare USBguard o disabilitare HID interamente e utilizzare ssh per interagire con il dispositivo forense. Tuttavia, poiché il malware continua a diventare più intelligente, sarebbe una buona idea utilizzare solo un dispositivo a basso costo sostituibile per la diagnostica forense basata su USB; suggerimento ricerca web "sistema su un chip" e restringere le opzioni disponibili alle schede con architettura CPU x86 per avere un tempo più semplice per caricare Driver ADB (Android Debug Bridge) e mantenere una connessione solida per l'imaging del file system.
Note once you've sufficiently secured the device that'll be connecting to the possibly infected device the best thing to keep in mind is that push
& pull
commands with ADB are just as forgiving as in-file and out-file command line options used with dd
, which is to say not very forgiving, so be careful.
Side note, Tripwire and similar file system tools can be very helpful for finding cross platform malware, but that and others would need setup prior to plugging in the infected device... only really applicable if your threat modal is sufficient to require forensic inspection of the device preforming forensics operations on the possibly infected device, and this also stats the line of questioning if the watcher is watching the watcher watching the watched in a trustworthy way... and if we go down that line of thought I'll hit the character limits for posting answers again.
Il prossimo passo sta emulando il dispositivo imaged, ci sono alcune opzioni ma AVD (dispositivo virtuale Android) manager fornito con l'SDK di Androids (Software Development Kit) dovrebbe essere sufficiente per questo compito. Eseguire un backup del dispositivo possibilmente infetto, caricare un AVD per simulare l'hardware del target e ripristinare il backup sul file system del dispositivo emulato, quindi andare in città sulla dissezione della memoria o impostare i punti di interruzione o persino tentare di penetrare il dispositivo emulato per trovare i punti di uscita utilizzati dal malware originale ... forse è possibile eseguire il root del dispositivo emulato anche per verificare se il malware lo stava aspettando prima di intraprendere azioni ... oh e assicurarsi di scollegare / smontare e rimuovi l'alimentazione dal dispositivo fisico che potrebbe essere stato infettato dopo aver caricato il backup nell'ambiente emulato. Finché stai lavorando su una versione emulata del dispositivo infetto, le tue azioni non interromperanno nulla per il client, così da ottenere il massimo con il dispositivo emulato a tuo piacimento, tuttavia, se hai lo spazio fai un backup del backup in modo tale che la copiatura del dispositivo emulato non richieda il ricollegamento del dispositivo eventualmente infetto.