hacktricks/android-forensics.md

Android 取证

{% hint style="success" %} 学习并练习 AWS 黑客：HackTricks 培训 AWS 红队专家 (ARTE)
学习并练习 GCP 黑客：HackTricks 培训 GCP 红队专家 (GRTE)

支持 HackTricks

• 查看 订阅计划!
• 加入 💬 Discord 群组 或 电报群组 或 关注 我们的 Twitter 🐦 @hacktricks_live.
• 通过向 HackTricks 和 HackTricks Cloud github 仓库提交 PR 来分享黑客技巧。

{% endhint %}

锁定设备

要开始从 Android 设备中提取数据，必须先解锁设备。如果设备已锁定，您可以：

• 检查设备是否启用了通过 USB 调试。
• 检查可能的 指纹攻击
• 尝试使用 暴力破解

数据获取

使用 adb 创建一个 android 备份，然后使用 Android Backup Extractor 提取它：java -jar abe.jar unpack file.backup file.tar

如果有 root 访问权限或物理连接到 JTAG 接口

• cat /proc/partitions（查找闪存的路径，通常第一个条目是 mmcblk0，对应整个闪存）。
• df /data（发现系统的块大小）。
• dd if=/dev/block/mmcblk0 of=/sdcard/blk0.img bs=4096（使用从块大小获取的信息执行）。

内存

使用 Linux Memory Extractor (LiME) 提取 RAM 信息。这是一个应通过 adb 加载的内核扩展。

{% hint style="success" %} 学习并练习 AWS 黑客：HackTricks 培训 AWS 红队专家 (ARTE)
学习并练习 GCP 黑客：HackTricks 培训 GCP 红队专家 (GRTE)

支持 HackTricks

• 查看 订阅计划!
• 加入 💬 Discord 群组 或 电报群组 或 关注 我们的 Twitter 🐦 @hacktricks_live.
• 通过向 HackTricks 和 HackTricks Cloud github 仓库提交 PR 来分享黑客技巧。

{% endhint %}