hacktricks/android-forensics.md
2023-06-03 01:46:23 +00:00

2.8 KiB

Forense de Android

☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥

Dispositivo bloqueado

Para empezar a extraer datos de un dispositivo Android, éste tiene que estar desbloqueado. Si está bloqueado, puedes:

Adquisición de datos

Crea una copia de seguridad de Android usando adb y extrae los datos usando Android Backup Extractor: java -jar abe.jar unpack file.backup file.tar

Si se tiene acceso root o conexión física a la interfaz JTAG

  • cat /proc/partitions (busca la ruta a la memoria flash, generalmente la primera entrada es mmcblk0 y corresponde a toda la memoria flash).
  • df /data (descubre el tamaño de bloque del sistema).
  • dd if=/dev/block/mmcblk0 of=/sdcard/blk0.img bs=4096 (ejecútalo con la información recopilada del tamaño de bloque).

Memoria

Usa Linux Memory Extractor (LiME) para extraer la información de la RAM. Es una extensión del kernel que debe cargarse a través de adb.