hacktricks/android-forensics.md

Android 取证

从零开始学习 AWS 黑客技术，成为 htARTE (HackTricks AWS 红队专家)！

支持 HackTricks 的其他方式：

• 如果您想在 HackTricks 中看到您的公司广告或下载 HackTricks 的 PDF 版本，请查看订阅计划！
• 获取官方 PEASS & HackTricks 商品
• 发现PEASS 家族，我们独家的NFTs 集合
• 加入 💬 Discord 群组 或 telegram 群组 或在 Twitter 🐦 上关注我 @carlospolopm。
• 通过向 HackTricks 和 HackTricks Cloud github 仓库提交 PR 来分享您的黑客技巧。

锁定设备

要开始从 Android 设备提取数据，设备必须是解锁状态。如果设备被锁定，您可以：

• 检查设备是否激活了 USB 调试。
• 检查可能的污迹攻击
• 尝试使用暴力破解

数据获取

使用 adb 创建android 备份并使用 Android Backup Extractor 提取：java -jar abe.jar unpack file.backup file.tar

如果有 root 权限或物理连接到 JTAG 接口

• cat /proc/partitions（搜索闪存的路径，通常第一个条目是 mmcblk0，对应整个闪存）。
• df /data（发现系统的块大小）。
• dd if=/dev/block/mmcblk0 of=/sdcard/blk0.img bs=4096（使用从块大小收集的信息执行）。

内存

使用 Linux Memory Extractor (LiME) 提取 RAM 信息。它是一个内核扩展，应通过 adb 加载。

从零开始学习 AWS 黑客技术，成为 htARTE (HackTricks AWS 红队专家)！

支持 HackTricks 的其他方式：

• 如果您想在 HackTricks 中看到您的公司广告或下载 HackTricks 的 PDF 版本，请查看订阅计划！
• 获取官方 PEASS & HackTricks 商品
• 发现PEASS 家族，我们独家的NFTs 集合
• 加入 💬 Discord 群组 或 telegram 群组 或在 Twitter 🐦 上关注我 @carlospolopm。
• 通过向 HackTricks 和 HackTricks Cloud github 仓库提交 PR 来分享您的黑客技巧。