Android Forensics
Kifaa Kilichofungwa
Ili kuanza kutoa data kutoka kwa kifaa cha Android lazima iwe imefunguliwa. Ikiwa imefungwa unaweza:
Angalia ikiwa kifaa kina uwezo wa kubaini kupitia USB.
Angalia kwa shambulio la smudge
Jaribu na Brute-force
Upatikanaji wa Data
Tengeneza chelezo ya android kwa kutumia adb na itoe kutumia Android Backup Extractor: java -jar abe.jar unpack file.backup file.tar
Ikiwa kuna ufikiaji wa mizizi au uhusiano wa kimwili kwa kiolesura cha JTAG
cat /proc/partitions
(tafuta njia ya kumbukumbu ya flash, kwa ujumla kuingia ya kwanza ni mmcblk0 na inalingana na kumbukumbu nzima ya flash).df /data
(Gundua saizi ya block ya mfumo).dd if=/dev/block/mmcblk0 of=/sdcard/blk0.img bs=4096 (itekeleze na habari iliyokusanywa kutoka kwa saizi ya block).
Kumbukumbu
Tumia Linux Memory Extractor (LiME) kutoa habari ya RAM. Ni ugani wa kernel ambao unapaswa kupakiwa kupitia adb.
Last updated