Android Forensics

Naucz się hakować AWS od zera do bohatera z htARTE (HackTricks AWS Red Team Expert)!

Inne sposoby wsparcia HackTricks:

Jeśli chcesz zobaczyć swoją firmę reklamowaną w HackTricks lub pobrać HackTricks w formacie PDF, sprawdź PLAN SUBSKRYPCJI!
Zdobądź oficjalne gadżety PEASS & HackTricks
Odkryj Rodzinę PEASS, naszą kolekcję ekskluzywnych NFT
Dołącz do 💬 grupy Discord lub grupy telegramowej lub śledź nas na Twitterze 🐦 @hacktricks_live.
Podziel się swoimi sztuczkami hakerskimi, przesyłając PR-y do HackTricks i HackTricks Cloud github repos.

Zablokowane urządzenie

Aby rozpocząć wyodrębnianie danych z urządzenia z systemem Android, musi być odblokowane. Jeśli jest zablokowane, można:

Sprawdzić, czy na urządzeniu jest aktywowane debugowanie przez USB.
Sprawdzić możliwość ataków smugowych
Spróbować z Brute-force

Pozyskiwanie danych

Utwórz kopię zapasową Androida za pomocą adb i wyodrębnij ją za pomocą Android Backup Extractor: java -jar abe.jar unpack file.backup file.tar

Jeśli masz dostęp do roota lub fizyczne połączenie z interfejsem JTAG

cat /proc/partitions (wyszukaj ścieżkę do pamięci flash, zazwyczaj pierwszy wpis to mmcblk0 i odpowiada całej pamięci flash).
df /data (Odkryj rozmiar bloku systemu).
dd if=/dev/block/mmcblk0 of=/sdcard/blk0.img bs=4096 (wykonaj to z informacjami zebranymi z rozmiaru bloku).

Pamięć

Użyj narzędzia Linux Memory Extractor (LiME), aby wyodrębnić informacje o pamięci RAM. Jest to rozszerzenie jądra, które powinno być załadowane za pomocą adb.