Android Forensik

Lernen Sie AWS-Hacking von Grund auf mit htARTE (HackTricks AWS Red Team Expert)!

Andere Möglichkeiten, HackTricks zu unterstützen:

Wenn Sie Ihr Unternehmen in HackTricks bewerben möchten oder HackTricks als PDF herunterladen möchten, überprüfen Sie die ABONNEMENTPLÄNE!
Holen Sie sich das offizielle PEASS & HackTricks-Merchandise
Entdecken Sie The PEASS Family, unsere Sammlung exklusiver NFTs
Treten Sie der 💬 Discord-Gruppe oder der Telegram-Gruppe bei oder folgen Sie uns auf Twitter 🐦 @hacktricks_live.
Teilen Sie Ihre Hacking-Tricks, indem Sie PRs an die HackTricks und HackTricks Cloud GitHub-Repositories senden.

Gesperrtes Gerät

Um Daten von einem Android-Gerät extrahieren zu können, muss es entsperrt sein. Wenn es gesperrt ist, können Sie Folgendes tun:

Überprüfen Sie, ob das Gerät die USB-Debugging-Funktion aktiviert hat.
Überprüfen Sie auf einen möglichen Smudge-Angriff
Versuchen Sie es mit Brute-Force

Datenbeschaffung

Erstellen Sie ein Android-Backup mit adb und extrahieren Sie es mit dem Android Backup Extractor: java -jar abe.jar unpack file.backup file.tar

Bei Root-Zugriff oder physischer Verbindung zur JTAG-Schnittstelle

cat /proc/partitions (Suchen Sie den Pfad zum Flash-Speicher, normalerweise ist der erste Eintrag mmcblk0 und entspricht dem gesamten Flash-Speicher).
df /data (Ermitteln Sie die Blockgröße des Systems).
dd if=/dev/block/mmcblk0 of=/sdcard/blk0.img bs=4096 (Führen Sie dies mit den Informationen zur Blockgröße aus, die Sie gesammelt haben).

Speicher

Verwenden Sie den Linux Memory Extractor (LiME), um Informationen zum RAM zu extrahieren. Es handelt sich um eine Kernel-Erweiterung, die über adb geladen werden sollte.