Compartilhar no facebook
Facebook
Compartilhar no whatsapp
WhatsApp
Compartilhar no google
Google+
Compartilhar no linkedin
LinkedIn

GPS Forensics III: Apreensão, transporte e análise

Ainda não pensamos em “rootkits” para GPS, logo, até o momento tão logo tenha contato com a evidência, a desligue utilizando os comandos apropriados. Tenha em mente que o dispositivo está trocando informações com o Satélite, o que poderá sobrescrever dados na memória. Congele o estado do dispositivo, mas antes de desligar, cheque a versão para analisar se nenhuma senha será solicitada no bootloader.

Policiais também devem considerar que antes de removerem veículos para delegacias ou pátios, devem observar se não existe dispositivo GPS, pois caso exista, devem manter o veículo no local até a chegada da perícia ou profissional com habilidades para desligamento forense ou até mesmo primeiras coletas.

Lembrando que os GPSs podem ter até 2gb de memória (TomTom) e buscam informações nos satélites U.S. NAVSTAR Global Positioning System (GPS), como aliás ocorre com a grande maioria dos modelos no mercado.

O examinador também deve ter uma estação forense própria para análise e ter a certeza que não está periciando o GPS em um PC que existam drivers do dispositivo. Com os drivers, ao detectar a conexão de um dispositivo, a aplicação irá rodar atualizações de mapas e outras informações, o que poderá destruir a evidência necessárias.

Se o GPS indicar como último ponto de partida o endereço da delegacia de polícia… Concluam como desejarem!

Já no equipamento (TomTom), alguns arquivos são relevantes, os quais podemos citar:

  • MAPSETTINGS.CFG – Contém informações sobre mapas, itinerários e endereços nos favoritos;
  • CURRENTLOCATION.DAT – Contém a última posição do dispositivo quando foi desligado;
  • SETTINGS.DAT – Pode conter informações sobre provedor wireless, conexões e dispositivos móveis conectados;
  • Arquivos .ITI – Em alguns modelos também armazenam itinerários.

Para a análise dos arquivos em padrão DAT, recomendamos a ferramenta PoiEdit, capaz de exibir todos os registros armazenados em tais arquivos. (http://www.poiedit.com/screenshots.htm).

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Rolar para cima