Cours dédié sur le fonctionnement et les traces trouvées sur les smartphones (cours avancé)
Le cours Cellebrite Avanced Smartphone Analysis (CASA) est conçu pour les investigateurs d’un niveau avancé ayant si possible déjà le CCPA. Ce cours de 4 jours se focalise sur les 2 types de smartphones que l’on est succeptible de rencontrer (Android et iOS) et plus spécifiquement sur la manière de gérer les applications qui ne sont pas nativement décodées. En ce sens, l’utilisation de fonctions avancées de Physical Analyzer sera vu en détail (App Genie, SQLite Wizard, etc….) mais aussi l’utilisation de scripts python dédiés pour améliorer les possibilités de décodage d’un point de vue concret.
Les participants aborderont les point suivants pendant la formation :
- 1. Les bases de données SQLite (utilisation avancée, comprendre le fonctionnement des bases de données, anticiper si oui ou non des données effacées peuvent être trouvées en fonction des choix de conception du développeur de l’application. Le chapitre sur les bases de données nous occupe la 1ère journée.
- 2. Principe de fonctionnement de l’iOS
- – Quelles traces systèmes peut-on récupérer
- – Les systèmes de fichier (APFS, HFS+)
- – Bases de données intéressantes
- – Introduction aux logs unifiés
- 3. iOS côté utilisateur : principes de fonctionnement des applications
- – Traces utilisateurs
- – Fichier Plist et bases de données
- – Investigation sur le Cloud
- 4. Android
- – Historique et systèmes de fichiers
- – Principe de fonctionnement et démarrage
- – Chiffrement sur Android
- – Verrouillage sur Android
- – Traces systèmes à exploiter
- 5. Les données utilisateurs sous Android
- – Analyse manuelle d’une application
- – Base de données
- – Fichier XML
- – Traces laissées dans les machines virtuelles
- 6. Examen écrit et certification