Soy un poco nuevo en el sistema de archivos de Android, estoy haciendo un proyecto para una clase de ciencia forense digital y quiero crear una imagen bit a bit de mi Nexus 5 con 4.4.4 stock, rooteado. La forma normal en que haría esto en un sistema Linux sería con dd así.
dd if=/dev/sda of=/dev/sdb
Como no tengo una tarjeta SD extraíble, estaba planeando hacer esto con un emulador de terminal y escribir en una unidad flash a través del puerto micro USB. Necesito poder montar la imagen y explorar los archivos desde el dispositivo una vez que se crea la imagen. Estoy mirando específicamente los datos del GPS y dónde se almacenan, o se almacenan sin saberlo, desde las aplicaciones o el sistema. Lo arreglaré yo mismo una vez que tenga una imagen, tengo algunos scripts que he escrito que buscarán en todos los directorios y archivos buscando cadenas de latitud y longitud. Aunque es probable que no encuentren nada en las bases de datos para Android, tendré que encontrar otra forma de escribir/ver a través de ellos.
¿Hay una buena manera de crear el tipo de imagen que estoy describiendo?
¡Gracias por cualquier ayuda!
Puede hacerlo usando dd
directamente en el dispositivo, asegurándose de que la salida vaya a una partición que pueda permitirse modificar. No voy a "clasificar" aquí desde el punto de vista forense (donde, por supuesto, es mejor no modificar nada en el dispositivo, lo que no siempre es posible, etc.), sino que simplemente enumeraré las opciones. Mientras busca datos escritos por aplicaciones, lo más probable es que busque la /data
partición, por lo que esta es la más importante para permanecer sin cambios (aunque ya está sujeta a cambios con el sistema Android arrancado):
/data
obtener información de montaje)/data
)Ahora busquemos una alternativa. Suponiendo que tiene instalada una recuperación personalizada, simplemente podría iniciarla (algo que probablemente verificaría primero). En recuperación, por defecto, la mayoría de las particiones (especialmente /data
) no están montadas, por lo que no se realizan modificaciones. Además, una recuperación personalizada le ofrece la posibilidad de crear una copia de seguridad de nandroid , que básicamente es un volcado de todos los sistemas de archivos (generalmente excepto la(s) tarjeta(s) SD), cada uno en un archivo separado. Estos volcados irían a la tarjeta SD (aquí: la interna, como un Nexus no tiene externa). Puede guardar adb pull
esas imágenes en su computadora incluso cuando aún está en modo de recuperación.
/proc
y /sys
y todo eso). Android solo le agrega/data
un poco ( , /cache
, /system
, /recovery
y algunos más). Me alegro de haberlo resuelto. ¡Buena suerte con tus pruebas/experimentos! Por cierto: Android Forensics de Andrew Hoog puede ser útil, aunque ya no es tan nuevo (he traducido el libro al alemán para mi editor, así que sé que lo recomiendo;) Un poco caro (Elsevier, sí), pero tal vez puedas hacerse con una "copia usada" al menos.dd
imágenes de todas las particiones de su dispositivo (sin modificar el dispositivo de ninguna manera). manera; simplemente "envía" su salida de vuelta al "emisor", por lo que las imágenes se almacenan directamente en su máquina Linux).
Irfan Latif