Android Forensics
Κλειδωμένη Συσκευή
Για να ξεκινήσετε την ανάκτηση δεδομένων από μια συσκευή Android, πρέπει να είναι ξεκλείδωτη. Εάν είναι κλειδωμένη, μπορείτε:
Ελέγξτε εάν η συσκευή έχει ενεργοποιημένη την αποσφαλμάτωση μέσω USB.
Ελέγξτε για πιθανή επίθεση με αποτυπώματα
Δοκιμάστε με Brute-force
Απόκτηση Δεδομένων
Δημιουργήστε ένα αντίγραφο ασφαλείας Android χρησιμοποιώντας το adb και εξαγάγετε το χρησιμοποιώντας το Android Backup Extractor: java -jar abe.jar unpack file.backup file.tar
Εάν έχετε πρόσβαση σε root ή φυσική σύνδεση με τη διεπαφή JTAG
cat /proc/partitions
(αναζητήστε τη διαδρομή προς τη μνήμη flash, συνήθως η πρώτη καταχώρηση είναι mmcblk0 και αντιστοιχεί στην ολόκληρη μνήμη flash).df /data
(Ανακαλύψτε το μέγεθος του μπλοκ του συστήματος).dd if=/dev/block/mmcblk0 of=/sdcard/blk0.img bs=4096 (εκτελέστε το με τις πληροφορίες που συλλέχθηκαν από το μέγεθος του μπλοκ).
Μνήμη
Χρησιμοποιήστε το Linux Memory Extractor (LiME) για να εξαγάγετε τις πληροφορίες της RAM. Είναι μια επέκταση πυρήνα που πρέπει να φορτωθεί μέσω adb.
Last updated