hacktricks/android-forensics.md
2023-08-03 19:12:22 +00:00

4 KiB
Raw Blame History

Android 取证

☁️ HackTricks 云 ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥

锁定设备

要开始从 Android 设备中提取数据,必须先解锁设备。如果设备已锁定,你可以:

数据获取

使用 adb 创建Android 备份,并使用Android Backup Extractor提取备份:java -jar abe.jar unpack file.backup file.tar

如果有 root 访问权限或物理连接到 JTAG 接口

  • cat /proc/partitions(查找闪存的路径,通常第一个条目是 mmcblk0,对应整个闪存)。
  • df /data(发现系统的块大小)。
  • dd if=/dev/block/mmcblk0 of=/sdcard/blk0.img bs=4096根据块大小的信息执行

内存

使用 Linux Memory Extractor (LiME) 提取 RAM 信息。它是一个通过 adb 加载的内核扩展。

☁️ HackTricks 云 ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥