Forensics

Identification d'appareils mobiles

En téléphonie mobile, à l'échelle mondiale, plusieurs normes de communication coexistent. La principale différence entre ces dernières réside dans la norme sous-jacente de codage du signal:
  • Les réseaux d'Amérique du Nord et de certaines parties d'Asie sont essentiellement basés sur CDMA.
  • Le reste du monde utilise W-CDMA.
A ma connaissance, il n'existe pas de puce unique, capable de gérer l'ensemble des différentes techniques sur l'ensemble des bandes de fréquence en exploitation dans le monde. C'est la raison pour laquelle aucun constructeur ne se targue d'avoir conçu un téléphone "Worldwide". Avec l'émergeance de la 4G/LTE, les deux principales techniques de codage basculent progressivement vers l'OFDMA. Dans le futur, on espère donc voir apparaître des téléphones "world-compatible" en espérant qu'un compromis pourra être trouvé pour que les bandes de fréquences soient les mêmes... Du point de vue de l'identification, les appareils mobiles WCDMA utilisent l'IMEI, tandis que ceux des zones CDMA utilisent le MEID (remplaçant de l'ESN).

Présentation

Les BOOTLOADER des téléphones estampillés Android est le premier programme à être éxécuté au démarrage. Ce dernier va permettre d'initialiser les différents composants du téléphone puis de démarrer en mode:

  • BOOTLOADER-MODE: écran de sélection ci-dessous, permettant de choisir le mode à démarrer.
  • SYSTEM-MODE: mode normal.
  • RECOVERY-MODE: mode de maintenance/restauration.
  • DOWNLOAD-MODE: flash externe via PC, généralement avec un outil propriétaire spécifique au constructeur: ODIN pour Samsung, LGNPST pour les LG. (A noter que ce mode n'est pas accessible depuis l'écran ci-dessous mais nécessite de démarrer le téléphone connecté au PC en appuyant sur une ou plusieurs touches VOL_UP, VOL_DOWN et POWER. Pour LG: c'est VOL_UP)
  • FASTBOOT-MODE: en parallèle,  le protocole FASTBOOT d'Android, permettant notamment de flasher le téléphone via l'outil du même nom disponible dans le SDK (/sdk/platform-tools), est utilisable seulement à l'écran de sélection ci-dessous. Une fois que le Primary BootLoader(PBL) aura rendu la main au Secondary BootLoader(SBL) aussi appelé Operating System BootLoader(OSBL).
[caption id="attachment_1480" align="aligncenter" width="284"]start Ecran de sélection du BOOTLOADER primaire[/caption]

On change un peu, just for fun !

Cela fait plusieurs articles que nous jouons avec le noyau Windows, c’est sympa mais parfois il faut savoir changer, sans quoi la routine s’installe. Donc cette fois on va faire une petite introduction au reversing sur ARM au lieu d’Intel. Et pour se faire quoi de mieux que de reverser un malware ou tout du moins ses protections d’anti-reversing ? C’est donc ce que l’on va faire, just for fun ;-)