hacktricks/android-forensics.md
2023-06-03 13:10:46 +00:00

2.9 KiB

Android Forensics

☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥

Appareil verrouillé

Pour commencer à extraire des données d'un appareil Android, il doit être déverrouillé. S'il est verrouillé, vous pouvez :

Acquisition de données

Créez une sauvegarde Android en utilisant adb et extrayez-la en utilisant Android Backup Extractor : java -jar abe.jar unpack file.backup file.tar

Si l'accès root ou la connexion physique à l'interface JTAG

  • cat /proc/partitions (recherchez le chemin d'accès à la mémoire flash, généralement la première entrée est mmcblk0 et correspond à toute la mémoire flash).
  • df /data (Découvrez la taille de bloc du système).
  • dd if=/dev/block/mmcblk0 of=/sdcard/blk0.img bs=4096 (exécutez-le avec les informations recueillies à partir de la taille de bloc).

Mémoire

Utilisez Linux Memory Extractor (LiME) pour extraire les informations de RAM. C'est une extension de noyau qui doit être chargée via adb.