Dump de SIM con lector de tarjetas

Todo sobre análisis forense de sistemas. Herramientas, tutoriales, etc.

Moderador: Moderadores

Dump de SIM con lector de tarjetas

Notapor Izengabe » Mar Mar 09, 2010 12:52 am

Buenas, me comentó el otro día un colega que quería recuperar unos SMS que había borrado de la tarjeta. Así que ayer estuve mirando un poquillo y vi que con un lector de tarjetas como el del DNI-e me valía. Lo intenté con varios programillas pero nada me mostraba los SMS que acababa de borrar a modo de prueba. Después me encontré este documento, bastante interesante sobre esto mismo:

http://mobileforensics.wordpress.com/20 ... rs-basics/

Ahora bien, no encuentro nada para hacer un dump del contenido de la tarjeta y examinarlo después con un editor hexadecimal o algo así. Alguien sabe algo sobre esto? TuxeD? ;)

Un saludo!
~~hAcK yoUr MiNd~~
~oKupA tU MeNte~

http://eternal-todo.com
Avatar de Usuario
Izengabe
:-)
:-)
 
Mensajes: 38
Registrado: Mar Abr 11, 2006 2:17 pm

Re: Dump de SIM con lector de tarjetas

Notapor vlan7 » Mar Mar 09, 2010 11:31 am

Buenas,

Si la SIM no esta protegida por un PIN estas de suerte, porque cuando los SMS se guardan en la SIM, se codifican siempre mediante el formato PDU. No como cuando se guardan al movil, que la codificacion no depende solo del modelo, sino de su firmware instalado, y la cosa se complica un poco.

Quizas algun software de estos te pueda ayudar:

http://www.forensicswiki.org/wiki/SIM_Card_Forensics

Aunque todos o casi todos son de pago, suelen tener un periodo de prueba.

Suerte,
There is a crack, a crack in everything That's how the light gets in. -subculture

zen7.vlan7.org
Avatar de Usuario
vlan7
<|:-D
<|:-D
 
Mensajes: 1176
Registrado: Dom Mar 05, 2006 11:16 pm
Ubicación: Mas alla del EIP

Re: Dump de SIM con lector de tarjetas

Notapor Yorkshire » Mar Mar 09, 2010 1:24 pm

Al hilo de esto, aunque tengo en un PC un multilector de tarjetas que incluye una ranura para SIM, no he conseguido leer nada de ninguna.
El PC lleva Ubuntu 9.04.
He mirado software para ello pero no he encontrado nada que no sea en W$.
¿Sabéis de alguno?
Linux registered user #346840
Avatar de Usuario
Yorkshire
Gran Wadalbertita
Gran Wadalbertita
 
Mensajes: 4488
Registrado: Mié Ene 26, 2005 5:05 pm
Ubicación: -<|:-P[G]

Re: Dump de SIM con lector de tarjetas

Notapor neofito » Mar Mar 09, 2010 3:02 pm

Los siguientes enlaces seguro te resultaran interesantes:

http://conexioninversa.blogspot.com/200 ... s-sim.html
http://www.phone-forensics.com/forum/portal.php
http://mobileforensics.wordpress.com/

Saludos

PD: Lo siento York pero no conozco ningun software para Linux
La verdad nos hara libres

http://neosysforensics.blogspot.com
http://www.wadalbertia.org
@neosysforensics
-<|:-P[G]
Avatar de Usuario
neofito
Wadalbertita
Wadalbertita
 
Mensajes: 1799
Registrado: Dom Ene 30, 2005 7:16 am
Ubicación: En algun lugar

Re: Dump de SIM con lector de tarjetas

Notapor Newhack » Mar Mar 09, 2010 7:47 pm

yo creo que si quieres hacer un dump, o sea una copia "tal cual" de la memoria, lo que habría que hacer en primer lugar es
asegurarse de que se reconoce el dispositivo como tal, es decir, como una memoria en que se puede almacenar cosas y que está accesible.
Por lo que cuentas parece que el lector de dni lo hace. Verificar.
Luego, el que el programa o el s.o. vea datos o crea que está en blanco ya es otro tema, pero que tenga claro que tiene delante.

A la hora de hacer el volcado yo por ejemplo, lo probaría con dd si estás en Linux.
Y si estás con windows, pues ... ¿encase tal vez?, imagino que no despreciará nada, o con algún recuperador de datos que
no escriba en el medio si no que haga una copia en otro sitio.

Otro asunto ya será si los datos recuperados está cifrados o están en claro, pero para hacer el volcado de la memoria supongo que valdría con esto.
Avatar de Usuario
Newhack
<|:-D
<|:-D
 
Mensajes: 1874
Registrado: Jue Dic 20, 2007 7:36 pm

Re: Dump de SIM con lector de tarjetas

Notapor vlan7 » Mar Mar 09, 2010 11:00 pm

Buenas,

Interesante el post de conexion-inversa.

Izengabe, si tienes acceso a un win yo te recomendaria la version demo de este software:

SIM Card Seizure v2.0

Fijate en las limitaciones de la demo:

Demo Limitations: 30 days 23 executions and only one category per acquisition (Phonebook, SMS messages, Call history etc.)

Al descargar la demo te piden datos. Puedes darle a continuar sin haber introducido ninguno, pues no verifican nada.

Si, es una lastima que no haya nada free, o por lo menos yo no he encontrado nada, solo para linux monosim, quizas te sirva York, pero solo puede volcar la agenda.

Suerte,
There is a crack, a crack in everything That's how the light gets in. -subculture

zen7.vlan7.org
Avatar de Usuario
vlan7
<|:-D
<|:-D
 
Mensajes: 1176
Registrado: Dom Mar 05, 2006 11:16 pm
Ubicación: Mas alla del EIP

Re: Dump de SIM con lector de tarjetas

Notapor Yorkshire » Mié Mar 10, 2010 12:18 pm

Gracias vlan7, probaré.
Linux registered user #346840
Avatar de Usuario
Yorkshire
Gran Wadalbertita
Gran Wadalbertita
 
Mensajes: 4488
Registrado: Mié Ene 26, 2005 5:05 pm
Ubicación: -<|:-P[G]

Re: Dump de SIM con lector de tarjetas

Notapor Izengabe » Jue Mar 11, 2010 1:40 am

Buenas otra vez!

Sobre la wiki de Forensics de SIM ya probé bastantes programas pero ninguno me mostraba los SMS borrados, se limitaban a dar todo tipo de información, pero solo la que era "visible". Tal y como se cuenta en el blog conexioninversa que ha comentado neofito, probé el MOBILedit! sin suerte, pero veo que el SIM Manager y SIM Explorer hacen lo que quiero, aunque habrá que ver cómo los consigo...El SIM Card Seizure v2.0 también tiene buena pinta y como tiene versión demo pues será el primero que pruebe. Ah! y lo del dd también lo voy a probar. Cuando haga mis pruebillas ya os comentaré qué tal, pero yo creo que para recuperar los SMS hoy día está chungo, porque seguramente como decís se guardarán en el teléfono y no en la SIM, pero bueno...

Muchas gracias a todos por las respuestas!! en cuanto haga las pruebas os comento mis impresiones ;)

Un saludo!
~~hAcK yoUr MiNd~~
~oKupA tU MeNte~

http://eternal-todo.com
Avatar de Usuario
Izengabe
:-)
:-)
 
Mensajes: 38
Registrado: Mar Abr 11, 2006 2:17 pm

Re: Dump de SIM con lector de tarjetas

Notapor Izengabe » Sab Mar 13, 2010 11:20 pm

Bueno, ya he hecho las pruebas pertinentes. Al final he probado el SIM Manager, pero parece que era una versión vieja y no mostraba más que lo de siempre. Después he visto otros dos programillas, SIMCon y SIMEditor. Ambos te muestran los datos de todos los slots de SMS, borrados y no borrados, e incluso en hexadecimal. Con el SIMEditor, como supondréis, se puede editar también. La mala noticia es que en las pruebas que he hecho con mi Nokia 6234 he visto que al borrar un SMS no solo pone el status del slot a 0x00 (sin usar), sino que además sobreecribe los demás bytes (176 en total) con el byte 0xFF.

Como estaba picado con el tema de cómo se hace esta comunicación con la SIM, y al hilo de lo que decía Yorkshire, me he puesto a usar un lector de tarjetas que tengo con el programilla scriptor (gscriptor, versión GUI) que instale hace tiempo:

http://www.c3po.es/pv_ltc31.html?new_lang=es
http://ludovic.rousseau.free.fr/softwar ... index.html

A eso le añadimos la especificación de los comandos que se pueden mandara a una tarjeta SIM:

http://www.ttfn.net/techno/smartcards/gsm11-11.pdf

Y a jugar!! Después de trastear un rato he podido leer un SMS de la tarjeta, os pego la comunicación por si os interesa, lo que no he hecho es decodificar el contenido que ya no me apetecía comerme más la cabeza, jeje (http://www.twit88.com/home/utility/sms- ... ode-decode).

> A0 20 00 01 08 31 31 31 31 FF FF FF FF (Verify CHV 1111)
< 90 00 (OK)
> A0 A4 00 00 02 7F 10 (Select master file)
< 9F 16 (OK, 16 bytes pending to read)
> A0 C0 00 00 16 (Get Response 16 bytes)
< 00 00 72 10 7F 10 02 00 00 00 00 00 09 11 00 0B 0C
00 83 8A 82 8A 90 00
> A0 A4 00 00 02 6F 3C (Select SMS)
< 9F 0F
> A0 C0 00 00 0F
< 00 00 0D C0 6F 3C 04 00 11 F0 AA 01 02 01 B0 90 00
> A0 B2 01 04 B0 (Read record 01, modo absoluto, 176 bytes)
< 01 07 91 ...

De todas formas sigo estando interesado en algo que haga un dump a saco de una tarjeta, aunque no sé qué me da que no hay nada por ahí...


Update: y ahora encuentro esto!! http://brokenpipe.de/misc/chipcard/sim-intro.html
~~hAcK yoUr MiNd~~
~oKupA tU MeNte~

http://eternal-todo.com
Avatar de Usuario
Izengabe
:-)
:-)
 
Mensajes: 38
Registrado: Mar Abr 11, 2006 2:17 pm


Volver a Análisis Forense

¿Quién está conectado?

Usuarios navegando por este Foro: No hay usuarios registrados visitando el Foro y 1 invitado