Escenario
Jailbreak es una investigación de casos de iPad que expone diferentes
aspectos de los sistemas IOS.Pregunta
¿Cuándo fue la última vez que este dispositivo se cargó al 100 %? Formato: 01/01/2000 13:01:01
La herramienta utilizada para obtener la evidencia fue SqliteBrowser con la siguiente consulta sql.
¿Cuál es el título del primer podcast que se descargó?
La aplicación de noticias estuvo en segundo plano un tiempo de 197.810275. La evidencia se obtuvo analizando la base de datos CurrentPowerlog.PLSQL ubicada en la ruta /private/var/containers/Shared/SystemGroup/4212B332-3DD8-449B-81B8-DBB62BCD3423/Library/BatteryLife.
Como se puede observar en la imagen el estado más reciente se corresponde al id 66 de la tabla history_items. Lo que a su vez, se corresponde con la última página visitada.
¿Cuál es la versión de IOS de este dispositivo?
La versión del IOS del dispositivo es 9.3.5. La evidencia se obtuvo en el directorio CoreSystems en su archivo SystemVersion.plist.
Nota
Los principales archivos del núcleo del sistema operativo IOS están ubicados en directorio System\Library.
Los datos se almacenan en el directorio \privete\var\ .
Los datos de usuarios se almacenan en el directorio \private\var\mobile\ .
¿Quién está usando el iPad? Incluya su nombre y apellido. (Dos palabras)
El usuario que está ocupando el iPad es Tim Apple. La evidencia se obtuvo analizando el directorio /private/var/mobile/Library/Calendar/Calendarsqlitedb
¿Cuándo fue la última vez que este dispositivo se cargó al 100 %? Formato: 01/01/2000 13:01:01
La última vez que el dispositivo se cargó al 100% fue 04/15/2020 06:40:31 PM. La evidencia se obtuvo analizando el archivo de base de datos sqlite CurrentPowerlog.PLSQL que está ubicado en el directorio /private/var/containers/Shared/SystemGroup/4212B332-3DD8-449B-81B8-DBB62BCD3423/Library/BatteryLife .
¿Cuál es el título de la página web más visitada? (Tres palabras)
El título de la página web más visitada es kirby with legs. La evidencia se obtuvo analizando el archivo de base de datos history.db. este archivo está ubicado en la siguiente ruta /private/var/mobile/Containers/Data/Application/FB1B2A1C-AC19-406F-BEEC-EC048BF504EA/Library/Safari.
¿Cuál es el título del primer podcast que se descargó?
El nombre del primer podcast que se descargo es WHERE ARE WE?. La evidencia se obtuvo analizando el archivo de base de datos MTLibrary.sqlite.
La abrir el archivo MTLibrary.sqlite con la herramienta SqliteBrowser ordenamos la tabla por por su Primary key, para obtener el primer podcast descargado.
¿Cuál es el nombre de la red WiFi a la que se conectó este dispositivo? (Dos palabras)
El nombre (SSID) de la red WIFI que se conectó este dispositivo es black lab. La evidencia se obtuvo analizando el archivo com.apple.wifi.plist. Ubicado en la ruta /private/var/preferences/SystemConfiguration/.
Nota
Los archivos con extensión .plist son archivos binarios de Apple. Por lo tanto, para poder analizar estos tipos de archivos debemos utilizar la herramienta plistutil de Linux. La funcionalidad de esta herramienta consiste en transforma el archivo binario en un archivo xml, facilitando el análisis de este.
¿Cuál es el nombre del esquema de piel/color utilizado para el emulador del juego? Este debe ser un nombre de archivo.
El nombre de esquema utilizado por el emulador de juegos es Default.gbaskin. La evidencia se obtuvo desde el directorio GBA4iOS.app, ubicado en la ruta /Applications/GBA4iOS.app.
Para encontrar la respuesta a esta pregunta tuve que ir analizando cada uno de las carpetas que se encontraban dentro del directorio Applications e ir buscado información (Internet) de cada uno de ellos para ir descartando archivos. Al buscar información sobre GBA4iOS.app obtuve la siguiente url http://www.gba4iosapp.com/ es una aplicación para emular entre otras cosas juegos de Game Boy.
¿Cuánto tiempo se ejecutó la aplicación de noticias en segundo plano?
¿Cuál fue la primera descarga de la aplicación de AppStore? (Dos palabras)
La primera aplicación que se descargó de AppStore fue Cookie run. La evidencia se obtuvo con la herramienta iLEAPP.
¿Qué aplicación se utilizó para liberar este dispositivo?
La aplicación que se utilizó para liberar el dispositivo es Phoenix. La evidencia se obtuvo analizando la base de datos applicationState.db ubicada en el directorio private/var/mobile/Library/FrontBoard.
En esta base de datos se almacenan las aplicaciones instaladas en el dispositivo así que tuve que ir buscando información de cada una de la aplicaciones instaladas hasta hallar la aplicación que se utilizó para realizar la liberación del dispositivo.
¿Cuántas aplicaciones se instalaron desde la tienda de aplicaciones?
Se instalaron 2 (dos) aplicaciones desde la tienda de aplicaciones. La evidecia se obtuvo con la herramienta iLEAPP, en el menú installed app / itunes Metadata.
¿Cuántos estados guardados se realizaron para el juego de emulador que se obtuvo más recientemente?
El número de estados guardados para el emulador de juego es 1(uno). La evidencia se obtuvo analizando la base de datos History.db. Ubicado en la ruta /private/var/mobile/Containers/Data/Application/FB1B2A1C-AC19-406F-BEEC-EC048BF504EA/Library/Safari.
Primero buscamos en la tabla history_items para averiguar cuál fue la última página visitada por el usuario.
Como se puede observar en la imagen la última página visiatada por el usuario fue https://s2roms.cc/s3roms/Gameboy%20Advance/L-O/Legend%20of%20Zelda,%20The%20-%20The%20Minish%20Cap%20(U).zip . La extensión nos indica que es un archivo .zip. Por lo tanto, también indica que fue ejecutada una descarga. Aquí lo importante es el id(66) del registro para comprarlo con la tabla history_visits en el campo history_items este campo relaciona ambas tablas history_items y history_visits. Con la comparación con la tabla history_visits obtendremos la fecha que se visitó la página web. Por lo tanto, su estado más reciente.
¿Qué idioma está tratando de aprender el usuario?
El usuario está intentando de estudiar Español. La evidencia se obtuvo analizando el archivo
PodcastsDB.plist en la siguiente ruta /private/var/mobile/Containers/Data/Application/3DB96BE0-20EC-4460-9413-370259138580/Documents.
El usuario estaba leyendo un libro en la vida real, pero usó su iPad para registrar la página que había dejado. ¿Qué número era?
El número de página es 85. La evidencia se obtuvo analizando el directorio 100APPLE. ubicado en la ruta /private/var/mobile/Media/DCIM/ . El usuario grabo con su cámara el número de página, el nombre del archivo es IMG_0008.MOV.
Si me encontraste, ¿qué debo comprar?
Esta pregunta es difícil de responder por que noy algún indicio por donde comenzar. Lo que hice fue buscar un patron con la función grep de Linux en los archivos de tipo .plist, .sqlite y .db. Como resultado la función grep devolvió muchos archivos en los cuales tuve que ir búscando archivo por archivo hasta encontrar algún indicio. El archivo que tenía la respuesta a esta pregunta es NoteStore.sqlite en la tabla ZICCLOUDSYNCINGOBJECT.
Había una aplicación de SMS en la base de este dispositivo. Proporcione el nombre en formato de paquete: com.provider.appname
El nombre de la aplicación SMS es com.apple.MobileSMS. La evidencia se obtuvo al analizar el archivo IconState.plist. Ubicado en la ruta /private/var/mobile/Library/SpringBoard.
Como el archivo IconState.plist es un archivo binario debemos convertirlo a un archivo xml para facilitar el análisis con la herramienta plistutil.
Se hizo un recordatorio para conseguir algo, ¿qué era?
El recordatorio es Get milk, la respuesta correcta es milk. La evidencia se obtuvo al analizar la base de datos Calendar.slitedb en la tabla CalendarItem.
Happy hacking!!!
Comentarios
Publicar un comentario