Android Forensics
Zaključan uređaj
Da biste počeli sa ekstrakcijom podataka sa Android uređaja, mora biti otključan. Ako je zaključan, možete:
Proverite da li je aktivirano debugovanje putem USB-a na uređaju.
Proverite mogući napad otiskom prsta
Pokušajte sa Brute-force
Akvizicija podataka
Napravite android rezervnu kopiju koristeći adb i izvucite je koristeći Android Backup Extractor: java -jar abe.jar unpack file.backup file.tar
Ako imate root pristup ili fizičku vezu sa JTAG interfejsom
cat /proc/partitions
(potražite putanju do fleš memorije, obično je prva stavka mmcblk0 i odgovara celoj fleš memoriji).df /data
(Otkrijte veličinu bloka sistema).dd if=/dev/block/mmcblk0 of=/sdcard/blk0.img bs=4096 (izvršite sa informacijama prikupljenim o veličini bloka).
Memorija
Koristite Linux Memory Extractor (LiME) da izvučete informacije o RAM-u. To je kernel ekstenzija koja bi trebalo da se učita putem adb.
Last updated