Google ha anunciado hoy el lanzamiento de una nueva función de Registro de intrusiones en Android como parte del modo de Protección avanzada de Android (Android Advanced Protection Mode, AAPM). La nueva función llamada Registro de intrusiones promete ser de gran ayuda para los investigadores/as forenses digitales que indagan sobre ataques sofisticados en dispositivos Android. Es la primera vez que un importante fabricante de dispositivos lanza una función diseñada específicamente para mejorar la capacidad de detectar y responder a amenazas digitales avanzadas en el ámbito forense.
El Laboratorio sobre Seguridad de Amnistía Internacional ha colaborado con Google durante el último año en todo el proceso de diseño e implementación del AAPM, prestando especial atención a la función de Registro de intrusiones. Las investigaciones de Amnistía Internacional y de una comunidad cada vez mayor de laboratorios que trabajan en el ámbito de las amenazas e investigadores/as de la sociedad civil han identificado numerosos casos en los que atacantes sofisticados tienen como objetivo los teléfonos de defensores/as de los derechos humanos y de periodistas.
Los intentos forenses de la sociedad civil se han basado casi exclusivamente en registros de incidentes y archivos de registro, no diseñados ni pensados para el uso forense o de seguridad. Como resultado, las huellas forenses disponibles en los teléfonos móviles suelen carecer de contexto esencial, son inaccesibles para el usuario final o son de corta duración y ya no están disponibles cuando se lleva a cabo el análisis forense en el dispositivo.
Los actores del ámbito de la vigilancia también son cada vez más conscientes de estos esfuerzos forenses y se esmeran en ocultar sus acciones en los dispositivos objetivo. Basarse en registros forenses de incidentes en un contexto así parece insuficiente para los esfuerzos de rendición de cuentas a largo plazo, destinados a combatir el uso indebido de las tecnologías de cibervigilancia.
Nos complace enormemente el lanzamiento del Registro de intrusiones de Android, que promete respaldar a los defensores y defensoras, proporcionando a quienes en la sociedad civil se dedican a investigar las pruebas esenciales necesarias para detectar y exponer algunos de los ataques más avanzados a los que se enfrentan tanto periodistas como activistas.
Donncha Ó Cearbhaill, director del Laboratorio sobre Seguridad, Amnistía Internacional
Con el Registro de intrusiones, Google se convierte en el primer gran proveedor en abordar el reto de detectar ataques avanzados en los dispositivos con carácter proactivo. Al poner a disposición de los/as investigadores/as más datos forenses consensuados, es posible dificultar las operaciones de los atacantes y ayudar a la sociedad civil a exigir responsabilidades cuando sus dispositivos son objeto de ataques ilícitos mediante software espía y herramientas de extracción de datos móviles.
Este informe técnico se dirige principalmente a tecnólogos/as e investigadores/as forenses de la sociedad civil. En él se describen las nuevas características clave del modo de Protección avanzada y se detalla cómo puede la función de Registro de intrusiones de Android, en concreto, mejorar el trabajo de los/as investigadores/as que llevan a cabo análisis forenses digitales consensuados.
Para que el Registro de intrusiones esté a disposición de los/as investigadores/as, Amnistía Internacional también ha publicado hoy actualizaciones de AndroidQF y del Mobile Verification Toolkit (MVT), a fin de proporcionar soporte inicial para recopilar y analizar automáticamente los registros del Registro de intrusiones.
Para usuarios de alto riesgo: pasen directamente a las Instrucciones para habilitar el modo de Protección avanzada.
Introducción
En los últimos años se han logrado avances significativos en la integración de mecanismos de seguridad más sólidos directamente en los sistemas operativos móviles, con el objetivo de hacer frente a ataques selectivos y sofisticados. Son ejemplos de ello el modo hermético de Apple, las mitigaciones de exploits de GrapheneOS y el modo de Protección avanzada (AAPM) de Android. El AAPM reúne un conjunto de configuraciones predeterminadas y, como anunció recientemente Google, ahora incluye una función adicional llamada Registro de intrusiones.
Históricamente, la arquitectura de Android ha impuesto limitaciones técnicas a la disponibilidad de registros con fines forenses consensuados. Los registros suelen tener una vida corta y se almacenan en búferes circulares fijos que se sobrescriben repetidamente durante el uso normal del teléfono. Por ejemplo, los mensajes del sistema recopilados a través de Logcat dependen de un conjunto fijo de búferes que se llenan rápidamente, lo que reduce su utilidad para fines forenses, pese a ser la fuente de registro más detallada del sistema operativo Android. Del mismo modo, los volcados de memoria generados por debuggerd se almacenan en un número limitado de archivos tombstone y se rotan a lo largo del tiempo, de forma que los más antiguos se sobrescriben a medida que se producen nuevos errores en el dispositivo.
En el análisis forense consensuado, solemos trabajar en escenarios posteriores a un ataque. Normalmente, los defensores y defensoras de los derechos humanos se ponen en contacto con nosotros debido a la sospecha de infecciones previas, que pueden haber ocurrido meses o incluso años antes. Si bien las notificaciones de proveedores como Apple, Meta y Google han ayudado a las personas a reconocer posibles vulneraciones y a pedir ayuda más rápidamente, es posible que, cuando comienza la investigación, las pruebas históricas ya hayan desaparecido.
En este contexto, una función opcional como el Registro de intrusiones representa un cambio fundamental en la cantidad y la calidad de los datos forenses disponibles en dispositivos Android. Hasta ahora, el análisis forense se basaba en registros no diseñados para la detección de intrusiones. En el pasado, los artefactos de resolución de problemas de desarrolladores y fabricantes de equipos originales (Original Equipment Manufacturers, OEM), como los informes de errores o los datos obtenidos mediante comandos del shell ADB, eran las únicas fuentes de datos disponibles. Además, Google Takeout proporcionaba datos de copia de seguridad limitados destinados a los usuarios finales, no a investigaciones forenses. En cambio, el Registro de intrusiones está diseñado específicamente para capturar eventos significativos para la seguridad y relacionados con posibles intrusiones, con el objetivo explícito de permitir un análisis forense consensuado y, por lo tanto, mejora significativamente la capacidad de identificar e investigar ataques sofisticados en Android.
Mantuvimos un diálogo continuado con Google durante el desarrollo de esta función y compartimos información sobre las constantes observadas en exploits en la práctica, así como los requisitos específicos de nuestras metodologías forenses consensuadas. La colaboración entre la industria y la sociedad civil ha demostrado repetidamente su eficacia a la hora de crear funciones de seguridad que protejan mejor a los defensores y defensoras de los derechos humanos; el Registro de intrusiones es un claro ejemplo de lo que se puede lograr con dicha cooperación. Cuando las funciones de seguridad se desarrollan e implementan teniendo en cuenta a las poblaciones más vulnerables, estos avances benefician a todas las personas y hacen que las opciones de seguridad avanzadas sean más accesibles y fáciles de usar.
Descripción general del AAPM
Las funciones introducidas en el marco del AAPM pueden dividirse en dos categorías. La primera se centra en reducir la superficie de ataque de un dispositivo, reforzando su resistencia frente a los ataques, mientras que la función de Registro de intrusiones, recientemente añadida, tiene como objetivo supervisar y proporcionar visibilidad sobre ataques intentados o consumados.
a. Funciones de seguridad del AAPM
Al activarse por primera vez, el AAPM pone en marcha un conjunto de protecciones por capas en todo el dispositivo, que pueden variar en función de la versión de Android.
A nivel de dispositivo, activa el bloqueo por detección de robo y el bloqueo de dispositivo sin conexión, que bloquean automáticamente el teléfono si se desconecta o si los movimientos rápidos sugieren que el dispositivo puede haber sido robado1. Además, si el teléfono permanece bloqueado durante tres días, se reiniciará automáticamente. El modo de protección avanzada también incluye la protección USB, que bloquea nuevas conexiones por USB mientras la pantalla está bloqueada, impidiendo el acceso no autorizado o la comunicación de datos a través de una conexión USB. Esto es importante en contextos de incautación de dispositivos, ya que forzar el teléfono a volver a un estado “antes del primer desbloqueo” y bloquear el acceso no autorizado mediante USB dificulta significativamente que las herramientas de extracción forense no consentidas accedan a los datos almacenados en el dispositivo. Estas protecciones están claramente diseñadas para mitigar ataques con un componente físico, como el robo, la pérdida o la incautación del dispositivo.
En lo que respecta a las aplicaciones, el AAPM se activa e impide desactivar Google Play Protect, además de bloquear la instalación de aplicaciones de fuentes desconocidas, lo que también se conoce como sideloading. Estos ajustes tienen por objeto limitar la exposición a software malicioso, incluidos “stalkerware” y aplicaciones de vigilancia que se utilizan con frecuencia en contextos de violencia de género o de vigilancia encubierta, y que a menudo se distribuyen al margen de las tiendas de aplicaciones oficiales. Esta configuración también protegería contra la instalación paralela de aplicaciones maliciosas mediante el acceso físico a un dispositivo, táctica cada vez más observada. En esta misma línea, el AAPM habilita la extensión de etiquetado de memoria (Memory Tagging Extension, MTE), protección diseñada para detectar y proteger contra ataques de corrupción de memoria.
En cuanto a redes y navegación, el AAPM desactiva las conexiones 2G y habilita protecciones adicionales para la navegación web, incluidas la desactivación de la compilación en tiempo de ejecución (just-in-time, JIT) y la advertencia a los usuarios cuando visitan sitios que no son HTTPS. Por último, el AAPM incluye una serie de protecciones contra el correo no deseado y el phishing, que marca el contenido sospechoso tanto en la aplicación Teléfono como en Mensajes.
b. Registro de intrusiones
La función más reciente añadida al AAPM es el Registro de intrusiones, también conocido como “registro forense”. El Registro de intrusiones es un mecanismo que preserva la privacidad, ya que todos los registros forenses se cifran con una clave generada por el usuario antes de que los registros se archiven de forma segura en la cuenta de Google del usuario. Posteriormente, el usuario puede acceder a los registros y desencriptarlos, no así Google ni ningún tercero no autorizado. De forma predeterminada, los registros se recopilan periódicamente una vez al día y se almacenan cifrados en la nube. Cuando se requiere un análisis forense, el propietario del dispositivo debe compartir explícitamente estos registros desde el propio dispositivo de forma segura con el analista forense.
Uso del Registro de intrusiones en una situación forense real
Para ilustrar el valor del Registro de intrusiones, considere una situación realista en la que se incauta un dispositivo móvil sin orden judicial y posteriormente se devuelve a su propietario. Desde una perspectiva forense, se plantean varias preguntas:
- ¿Se desbloqueó el teléfono mientras estaba fuera del control de su propietario?
- ¿Interactuó con él alguien no autorizado, por ejemplo, mediante Android Debug Bridge (ADB)?
- ¿Se instalaron aplicaciones de monitorización o software espía?
- ¿Se comunicó el dispositivo con una infraestructura externa que pudiera indicar actividad de mando y control (Command and Control, C2)?
- ¿Se eliminaron posteriormente los rastros de estas acciones, ya sea por un atacante que intentara ocultarlos o por procesos legítimos de limpieza de seguridad?
Cuando el Registro de intrusiones está habilitado de antemano, muchas de estas acciones —desde la infección inicial hasta la actividad C2 y la eliminación de rastros— dejan huellas en los registros. En las secciones siguientes se explica cómo se puede identificar cada una de estas etapas utilizando los eventos de Registro de intrusiones pertinentes.
Tipos de eventos registrados
El Registro de intrusiones almacena tres categorías principales de eventos. A continuación se detallan los más pertinentes para las investigaciones forenses consensuadas.
1. Eventos de seguridad
La lista completa de eventos de seguridad disponibles a través del Registro de intrusiones se documenta aquí. Desde el punto de vista forense consensuado, las siguientes clases de eventos son especialmente pertinentes:
a. Desbloqueo del dispositivo
El evento TAG_KEYGUARD_DISMISS_AUTH_ATTEMPT, combinado con marcas de tiempo y un resultado “success: true”, permite a los investigadores determinar si un dispositivo se ha desbloqueado con éxito. Es especialmente significativo en casos relacionados con la custodia policial o la violencia de género, en los que se sospecha que ha habido acceso físico al dispositivo.
Ejemplo:
// IL event logs showing a device being locked
{"security_event":{"event_id":6,"event_time":1770984342543978764,"keyguard_secured":{}}}
// IL event logs showing a successful unlock of a device
{"security_event":{"event_id":7,"event_time":1770984359195595837,"keyguard_dismiss_auth_attempt":{"success":true,"method_strength":1}}}
{"security_event":{"event_id":8,"event_time":1770984359402276339,"keyguard_dismissed":{}}}
b. Acceso físico e interacciones abusivas
Eventos tales como: TAG_ADB_SHELL_CMD, TAG_ADB_SHELL_INTERACTIVE, TAG_SYNC_SEND_FILE, TAG_SYNC_RECV_FILE, documentan la interacción directa con el dispositivo a través del Android Debug Bridge (ADB), incluida la ejecución de comandos shell y la transferencia de archivos mediante adb push y adb pull. Dicha actividad suele indicar acceso físico y un dispositivo desbloqueado con la depuración habilitada, lo cual es de gran relevancia en las investigaciones forenses.
Ejemplo:
// Execution of an ADB shell command
{"security_event":{"event_id":0,"event_time":1771248003460210232,"adb_shell_cmd":{"command":"logcat"}}}
// File transfer from the device to the host
{"security_event":{"event_id":2,"event_time":1771243841015617441,"adb_sync_recv_file":{"path":"\/sdcard\/Download\/mal.txt"}}}
c. Instalación y eliminación de software espía
Cuando se dispone de acceso físico, las aplicaciones de monitorización maliciosas pueden instalarse manualmente y eliminarse posteriormente como táctica de ocultación. Los siguientes eventos permiten a los investigadores rastrear esta actividad: TAG_PACKAGE_INSTALLED y TAG_PACKAGE_UNINSTALLED.
Los eventos de instalación (TAG_PACKAGE_INSTALLED) pueden revelar la instalación de aplicaciones de vigilancia o de acoso, mientras que los eventos APP_PROCESS_START permiten identificar qué procesos se inician y se ejecutan activamente en el dispositivo.
Los eventos de desinstalación (TAG_PACKAGE_UNINSTALLED) permiten ver cuándo se elimina una aplicación, ya sea de forma deliberada o automática, mediante mecanismos de seguridad como Google Play Protect u otros sistemas de detección de software malicioso en el sistema operativo. Disponer de registros de intrusiones anteriores a la desinstalación persistentes proporciona visibilidad sobre posibles actividades maliciosas previas que en el pasado eran muy difíciles de capturar en las investigaciones forenses de Android.
Ejemplo:
// App installed
{"security_event":{"event_id":0,"event_time":1770993673783303483,"package_installed":{"package_name":"com.google.android.trichromelibrary_763204533","version_code":76320453,"user_id":0}}}
// Process launched
{"security_event":{"event_id":0,"event_time":1767011660603598998,"app_process_start":{"process":"WebViewLoader-armeabi-v7a","start_time":1770983836165655562,"uid":1037,"pid":2091,"seinfo":"null:complete","sha256":"No APK"}}}
// App uninstalled
{"security_event":{"event_id":0,"event_time":1770990226429938404,"package_uninstalled":{"package_name":"com.google.android.trichromelibrary_725800234","version_code":725800234,"user_id":0}}}
2. Eventos del DNS y conexión
Los eventos del DNS y conexión proporcionan visibilidad sobre el historial de navegación. En el siguiente ejemplo del Registro de intrusiones, vemos cómo una consulta al DNS de un nombre de host va seguida de un evento de conexión correspondiente a la dirección IP indicada.
Desde un punto de vista forense, estos registros son especialmente útiles porque muchos ataques sofisticados de un solo clic se basan en redireccionamientos a páginas señuelo, con visitas imperceptibles a sitios web maliciosos. Incluso si el usuario no se da cuenta del redireccionamiento, la consulta al DNS y el intento de conexión seguirán registrándose y podrán cotejarse con indicadores de compromiso conocidos. Además, los registros de intrusiones pueden revelar comunicaciones C2 procedentes de aplicaciones comprometidas, ya que cada evento incluye un package_name, lo que permite determinar si el tráfico se originó en un navegador o en una aplicación específica.
Ejemplo:
{"dns_event":{"event_id":2,"event_time":1770983814122,"package_name":"com.android.chrome","hostname":"www.web.com","ip_addresses":["\/1XX.YYY.ZZZ.WWW","\/1XX.YYY.ZZZ.WWW","\/1XX.YYY.ZZZ.WWW"],"ip_addresses_count":3}}
Limitaciones y advertencias
Aunque los registros de intrusiones ofrecen un valor significativo para el análisis forense consensuado, hay una serie de limitaciones que deben tenerse en cuenta.
- El AAPM (incluido el Registro de intrusiones) requiere Android 16 o una versión posterior y, actualmente, sólo está disponible en dispositivos Pixel, aunque se espera que otros fabricantes lo incorporen en un futuro próximo.
- La adopción por parte de los fabricantes (en dispositivos que no sean Pixel) y de los usuarios finales puede ser lenta.
- El dispositivo debe estar vinculado a una cuenta de Google.
- El AAPM (y el Registro de intrusiones) deben estar habilitados antes de un ataque (o de cualquier situación de alto riesgo que pueda dar lugar a uno); los registros no pueden generarse de forma retroactiva.
- Ciertas funciones —como la protección contra la degradación a 2G o la extensión MTE— sólo están disponibles si el hardware es compatible. Por ejemplo, la desactivación de la configuración 2G sólo es compatible con dispositivos conformes a Radio HAL 1.6+.
- A diferencia de artefactos anteriores, como los informes de errores o las muestras de AndroidQF, que contienen pocos o ningún dato privado del usuario, los registros de intrusiones pueden incluir información confidencial, como el historial de navegación. Por lo tanto, el intercambio seguro de registros y el consentimiento informado son más esenciales que nunca.
El AAPM y el Registro de intrusiones en la práctica
A la hora de prestar apoyo a personas en situación de riesgo, el AAPM puede proporcionar protección adicional significativa en el dispositivo y debe considerarse como parte de un conjunto de recomendaciones para la persona, siempre que se ajuste al enfoque general de gestión de riesgos y el dispositivo y la versión de Android lo admitan. Desde una perspectiva forense, es importante comprender que, para que se generen los registros y puedan analizarse posteriormente, el Registro de intrusiones debe habilitarse con antelación.
1. Habilitar el modo de Protección avanzada de Android (AAPM)
El AAPM debe habilitarse antes de entrar en una situación de alto riesgo, o como protección continua para personas con un perfil de alta exposición.
En los dispositivos Pixel, la función se encuentra en el menú: Ajustes > Seguridad y privacidad > Protección avanzada > Protección del dispositivo
2. Habilitar el Registro de intrusiones
Si el AAPM ya está habilitado, asegúrate de que el Registro de intrusiones también esté activado en los ajustes del AAPM.
En los dispositivos Pixel, la función se encuentra en el menú: Ajustes > Seguridad y privacidad > Protección avanzada > Registro de intrusiones, situado en la parte inferior de la página. Una vez allí, desplaza el selector del Registro de intrusiones para habilitarlo.
3. Hacer un uso normal del dispositivo
Utiliza el teléfono como de costumbre, con el registro activado.
Si ocurre algo sospechoso
En algún momento, puede ser necesario efectuar un análisis forense. Podría deberse a una notificación de Google o Meta, a la incautación del dispositivo por parte de las autoridades, a la filtración inexplicable de información privada o a que tus colegas o contactos cercanos han sido víctimas de software espía. En estas situaciones, el siguiente paso es exportar y compartir de forma segura los registros del dispositivo con un analista forense.
4. Compartir los registros de intrusiones de forma segura con especialistas forenses
El Registro de intrusiones se puede compartir de dos maneras: manualmente desde el dispositivo y a través de AndroidQF. A continuación se describen ambos métodos; sin embargo, se recomienda AndroidQF, porque automatiza el flujo de trabajo de adquisición (véase el apartado 4b).
4a. Descargar los registros de intrusiones manualmente y enviarlos
En primer lugar, abre el menú Registro de intrusiones en Ajustes > Seguridad y privacidad > Protección avanzada > Registro de intrusiones, situado en la parte inferior de la página.
En el menú Registro de intrusiones, selecciona Acceder a los registros y, a continuación, elige Descargar y desencriptar para descargar los registros de tu dispositivo. Se te pedirá que introduzcas tu PIN o que utilices la autenticación biométrica para aprobar la solicitud. Aparecerá una ventana emergente para indicar que la descarga está en curso.
Una vez completada la descarga, otra ventana emergente confirmará: “Se descargaron los registros” y una nota te ofrecerá abrir los registros recién descargados en la carpeta Archivos.
Para acceder a los registros manualmente, abre la carpeta Archivos y ve a Descargas > Registro de intrusiones, donde encontrarás tanto los registros anteriores como los recién descargados.
Envía los registros a un analista forense de confianza a través de un método seguro y cifrado de extremo a extremo.
4b. Extraer los registros de intrusiones directamente con AndroidQF
Los registros también se pueden extraer directamente mediante AndroidQF siguiendo el proceso de adquisición estándar. Durante la adquisición, aparecerá un mensaje adicional en el dispositivo, que te solicitará autorización para acceder al Registro de intrusiones.
a. Asegúrate de que utilizas la última versión de AQF, ya sea descargando la versión más reciente del repositorio del proyecto o compilándola desde el código fuente siguiendo las instrucciones proporcionadas.
b. Ejecuta AQF desde la interfaz de línea de comandos (Command Line Interface, CLI) en su estación de trabajo forense:
$ ./androidqf
Ejecuta la adquisición como de costumbre, con el dispositivo conectado mediante USB.
c. Durante la adquisición, AQF mostrará el mensaje:“Would you like to take the Intrusion Logs of the device?” (“¿Deseas extraer los registros de intrusiones del dispositivo?”).
En este punto, puedes optar por no hacerlo o seleccionar Sí, a fin de incluir la carpeta completa del Registro de intrusiones en la adquisición.
d. A continuación, se te pedirá que apruebes la acción en el teléfono. AQF abrirá automáticamente la pantalla del Registro de intrusiones en el teléfono. Desde ahí, ve a Descargar y desencriptar y toca en la opción. Autorice la descarga de los registros utilizando su PIN o la autenticación biométrica, de forma similar al flujo de trabajo mostrado en el apartado 3a. Si aparecen varios dispositivos en la lista, puede descargar los registros de cada uno de ellos.
e. AQF esperará a que el nuevo registro de intrusiones esté disponible en: /sdcard/Download/Intrusion Logging/.
f. Una vez que haya terminado de descargar todos los archivos, pulsa CTRL+C para adquirir los datos restantes del dispositivo.
g. Se creará una nueva carpeta denominada intrusion_logs en el directorio de salida final, que contendrá los registros de intrusiones extraídos del dispositivo sin procesar.
5. Análisis forense
Los archivos del Registro de intrusiones pueden revisarse manualmente, lo cual está recomendado para comprender mejor su estructura y contenido. El Mobile Verification Toolkit (MVT) incluye un nuevo módulo denominado check-advanced-logs, diseñado específicamente para analizar los registros de intrusiones y facilitar el proceso de análisis forense.
Del mismo modo, los registros de intrusiones incluidos en una muestra de AQF se analizan automáticamente al ejecutar el módulo check-androidqf.
a. Antes de comenzar, asegúrate de que tanto el MVT como los conjuntos de datos referentes a los indicadores de compromiso estén actualizados:
# if MVT was installed via pipx
$ pipx upgrade mvt
# if MVT was installed via pip
$ pip3 install -U mvt
# download public IOC datasets
$ mvt-android download-iocs
b. Ejecuta el MVT con los datos del Registro de intrusiones y guarde la salida del MVT en una carpeta:
$ mvt-android check-advanced-logs ./il-raw-logs -o mvt-check_aapm-output
c. En este punto estamos en disposición de llevar a cabo el análisis forense con los resultados generados por el MVT. Tras ejecutar el comando del MVT, la herramienta genera su conjunto habitual de archivos. Entre ellos se incluye un archivo command.log, que contiene la salida de la línea de comandos y los detalles de ejecución, así como un archivo denominado timeline.csv, que agrupa todos los eventos con marca de tiempo detectados en los registros de muestra.
Al analizar específicamente los datos del Registro de intrusiones, el MVT también genera tres archivos independientes: security_event.json, dns_event.json y connect_event.json correspondientes a los tres tipos de eventos del Registro de intrusiones. Si se detecta actividad sospechosa, dichos eventos se resaltan en timeline_detected.csv. En tales casos, por ejemplo, si se identifica actividad del DNS sospechosa, el MVT generará además un archivo de salida de eventos detectados, como dns_event_detected.json, que contendrá únicamente los eventos pertinentes. Este proceso sigue la misma lógica de salida que aplica el MVT en sus otros módulos de análisis.
Ejemplo de archivos generados por el MVT al analizar entradas del Registro de intrusiones:
d. Es posible combinar el análisis forense de los registros de intrusiones con el análisis de otros artefactos, como un informe de errores recopilado del teléfono, lo que permite revisar todos los eventos juntos en una única línea temporal:
# run mvt to analyze a bugreport
$ mvt-android check-bugreport ./bugreport -o mvt-check_bugreport-output
# run MVT to analyze IL logs
$ mvt-android check-advanced-logs ./aapm-logs -o mvt-check_aapm-output
# concatenate both timelines generated interleaved by timestamp
$ cat ./mvt-check_bugreport-output/timeline.csv ./mvt-check_aapm-output/timeline.csv | sort -V > supertimeline.csv
A continuación, se puede utilizar el archivo supertimeline.csv para analizar eventos con marco temporal en todos los datos recopilados del dispositivo, incluidos tanto los registros de intrusiones como los informes de errores.
Si, en su lugar, se utiliza el módulo check-androidqf, la línea temporal resultante ya incluirá las entradas combinadas con marca de tiempo de todas las fuentes de datos adquiridas, incluidos los registros de intrusiones.