2 votos

Ginger_Beard avatar

¿Crear una imagen dd de un Android 4.4.4 para los forenses?

Preguntado el 29 de Octubre, 2014
Cuando se hizo la pregunta
625 visitas
Cuantas visitas ha tenido la pregunta
1 Respuestas
Cuantas respuestas ha tenido la pregunta
Resuelta
Estado actual de la pregunta

Soy un poco nuevo en el sistema de archivos de Android, estoy haciendo un proyecto para una clase de forense digital y quiero crear una imagen bit a bit de mi Nexus 5 corriendo 4.4.4 stock, rooteado. La forma normal que haría esto en un sistema Linux sería con dd así.

dd if=/dev/sda of=/dev/sdb

Como no tengo tarjeta SD extraíble, pensaba hacerlo con un emulador de terminal y escribir en una unidad flash a través del puerto micro USB. Necesito poder montar la imagen y navegar por los archivos desde el dispositivo una vez creada la imagen. Estoy buscando específicamente los datos del GPS y donde se almacena, o sin saberlo, de las aplicaciones o el sistema. Lo resolveré yo mismo una vez que tenga una imagen, tengo algunos scripts que he escrito que buscarán en todos los directorios y archivos buscando cadenas de latitud y longitud. Aunque esos probablemente no encontrarán nada en las bases de datos para Android, tendré que encontrar otra manera de script/mirar a través de esos.

¿Existe una buena manera de crear el tipo de imagen que estoy describiendo?

Gracias por cualquier ayuda.

Preguntado el 29 de Octubre, 2014 por Ginger_Beard

Respuesta

¿Demasiados anuncios?

2voto

Izzy avatar
Izzy Puntos 45544

Puede hacerlo utilizando dd directamente en el dispositivo, asegurándose de que la salida vaya a una partición que pueda permitirse modificar. No voy a "clasificar" aquí desde un punto de vista forense (donde por supuesto es mejor tener nada modificados en el dispositivo, lo que no siempre es posible, etc.), sino que simplemente se enumeran las opciones. Como usted está buscando datos escritas por aplicaciones, lo más probable es que se trate de la /data por lo que esta es la más importante para permanecer sin cambios (aunque ya está sujeta a cambios con el sistema Android arrancado):

  • conectar una unidad externa a través de OTG (podría aplicar cambios menores a /data para información sobre el montaje)
  • escribir en una partición interna existente (por ejemplo, la SD interna si piensa "volcar" /data )

Ahora vamos a buscar una alternativa. Asumiendo que tienes un recovery personalizado instalado, podrías simplemente arrancar en él (algo que probablemente comprobarías primero). En el recovery, por defecto la mayoría de las particiones (especialmente /data ) no se montan, por lo que no se realizan modificaciones. Además, una recuperación personalizada le ofrece la posibilidad de crear un nandroid copia de seguridad - que básicamente es un volcado de todos los sistemas de archivos (por lo general, excepto la(s) tarjeta(s) SD), cada uno en un archivo separado. Estos volcados irían a la tarjeta SD (aquí: la interna, ya que un Nexus no tiene externa). Podrías adb pull esas imágenes a su ordenador incluso estando en modo de recuperación.

Respondido el 29 de Octubre, 2014 por Izzy (45544 Puntos )

Preguntas relacionadas

Preguntas Destacadas

Etiquetas mas usadas

En nuestra red

PreguntAndroid.com

PreguntAndroid es una comunidad de usuarios de Android en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros usuarios, hacer tus propias preguntas o resolver las de los demás.

Powered by:

Yandex
X