Я немного новичок в файловой системе Android, я делаю проект для класса цифровой криминалистики, и я хочу создать побитовый образ моего Nexus 5 под управлением стоковой версии 4.4.4 с рутом. Обычный способ, которым я бы сделал это в системе Linux, был бы с dd вот так.
dd if=/dev/sda of=/dev/sdb
Поскольку у меня нет съемной SD-карты, я планировал сделать это с помощью эмулятора терминала и записать на флешку через порт micro USB. Мне нужно иметь возможность монтировать образ и просматривать файлы с устройства после создания образа. Я специально смотрю данные GPS и то, где они хранятся или хранятся по незнанию, из приложений или системы. Я разберусь с этим сам, как только у меня будет изображение. У меня есть несколько написанных мной сценариев, которые будут искать во всех каталогах и файлах строки широты и долготы. Хотя в базах данных для андроида они, вероятно, ничего не найдут, мне придется найти другой способ их скрипта/просмотра.
Есть ли хороший способ создать тип изображения, который я описываю?
Спасибо за любую помощь!
Вы можете сделать это, используя dd
непосредственно на устройстве, убедившись, что вывод идет в раздел, который вы можете позволить себе изменить. Я не буду здесь "ранжировать" с криминалистической точки зрения (где конечно лучше ничего не модифицировать на устройстве, что не всегда возможно и т.д.), а просто перечислю варианты. Поскольку вы ищете данные , записанные приложениями, вы, скорее всего, после /data
раздела, поэтому наиболее важно, чтобы он оставался неизменным (хотя он уже может быть изменен при загрузке системы Android):
/data
информации о монтаже)/data
)Теперь давайте проверим альтернативу. Предполагая, что у вас установлено пользовательское восстановление, вы можете просто загрузиться в него (что вы, вероятно, проверите в первую очередь). В рекавери по умолчанию большинство разделов (особенно /data
) не монтируются, поэтому никаких модификаций не делается. Кроме того, пользовательское восстановление предлагает вам возможность создать резервную копию nandroid , которая в основном представляет собой дамп всех файловых систем (обычно кроме SD-карт), каждая в отдельном файле. Эти дампы будут идти на SD-карту (здесь: внутреннюю, так как у Nexus нет внешней). Вы можете перенести adb pull
эти изображения на свой компьютер, даже находясь в режиме восстановления.
/proc
, /sys
и все такое). Android просто немного добавляет/data
к этому ( , /cache
, /system
, /recovery
, и еще кое-что). Рад, что мы решили эту проблему — удачи вам в тестах/экспериментах! Кстати: Криминалистическая экспертиза Android от Эндрю Хуга может пригодиться, хотя уже не такая свежая (я перевел книгу на немецкий язык для своего издателя, поэтому знаю, что рекомендую ее;) Немного дороговато (Эльзевир, да), но, может быть, вы можете раздобудьте хотя бы "бывший в употреблении экземпляр".dd
образов всех разделов с вашего устройства (без изменения устройства ни при каких обстоятельствах). образом; он просто «направляет» свой вывод обратно «эмитенту», так что образы сохраняются прямо на вашем Linux-компьютере).
Ирфан Латиф