¿Crear una imagen dd de un Android 4.4.4 para análisis forense?

Soy un poco nuevo en el sistema de archivos de Android, estoy haciendo un proyecto para una clase de ciencia forense digital y quiero crear una imagen bit a bit de mi Nexus 5 con 4.4.4 stock, rooteado. La forma normal en que haría esto en un sistema Linux sería con dd así.

dd if=/dev/sda of=/dev/sdb

Como no tengo una tarjeta SD extraíble, estaba planeando hacer esto con un emulador de terminal y escribir en una unidad flash a través del puerto micro USB. Necesito poder montar la imagen y explorar los archivos desde el dispositivo una vez que se crea la imagen. Estoy mirando específicamente los datos del GPS y dónde se almacenan, o se almacenan sin saberlo, desde las aplicaciones o el sistema. Lo arreglaré yo mismo una vez que tenga una imagen, tengo algunos scripts que he escrito que buscarán en todos los directorios y archivos buscando cadenas de latitud y longitud. Aunque es probable que no encuentren nada en las bases de datos para Android, tendré que encontrar otra forma de escribir/ver a través de ellos.

¿Hay una buena manera de crear el tipo de imagen que estoy describiendo?

¡Gracias por cualquier ayuda!

Respuestas (1)

Puede hacerlo usando dddirectamente en el dispositivo, asegurándose de que la salida vaya a una partición que pueda permitirse modificar. No voy a "clasificar" aquí desde el punto de vista forense (donde, por supuesto, es mejor no modificar nada en el dispositivo, lo que no siempre es posible, etc.), sino que simplemente enumeraré las opciones. Mientras busca datos escritos por aplicaciones, lo más probable es que busque la /datapartición, por lo que esta es la más importante para permanecer sin cambios (aunque ya está sujeta a cambios con el sistema Android arrancado):

  • conecte una unidad externa a través de OTG (puede aplicar cambios menores para /dataobtener información de montaje)
  • escriba en una partición interna existente (por ejemplo, la SD interna si planea "volcar" /data)

Ahora busquemos una alternativa. Suponiendo que tiene instalada una recuperación personalizada, simplemente podría iniciarla (algo que probablemente verificaría primero). En recuperación, por defecto, la mayoría de las particiones (especialmente /data) no están montadas, por lo que no se realizan modificaciones. Además, una recuperación personalizada le ofrece la posibilidad de crear una copia de seguridad de nandroid , que básicamente es un volcado de todos los sistemas de archivos (generalmente excepto la(s) tarjeta(s) SD), cada uno en un archivo separado. Estos volcados irían a la tarjeta SD (aquí: la interna, como un Nexus no tiene externa). Puede guardar adb pullesas imágenes en su computadora incluso cuando aún está en modo de recuperación.

¡Gracias por la respuesta! ¿Es /data una partición? ¿No es un directorio? Supuse que era un directorio de una partición en el dispositivo. Si estoy navegando por la raíz, tengo; /acct, /cache, /config, /d, /data, /dev, /etc, /mnt, /proc, /root, /sbin, /sdcard, etc. Directorios normales de Linux. Que en un sistema Linux normalmente estaría en algo como sda1, sda2, dependiendo de cuántas particiones tenga, si quisiera todo el disco, sería sda. ¿Hay un equivalente de esto para dispositivos Android? Y una forma de imaginar eso, la recuperación no siempre es una opción, ¿y no borra el teléfono?
Es posible que desee ver mi respuesta en Jerarquía de carpetas de Android , que debería explicar la mayor parte de esto. Siéntete libre de preguntar entonces si algo no está claro.
Ahh, eso aclaró todo, ¡gracias! Esa es una diferencia que no esperaba, viniendo de un entorno Linux.
Las cosas no son tan diferentes (ver por ejemplo /procy /sysy todo eso). Android solo le agrega/data un poco ( , /cache, /system, /recoveryy algunos más). Me alegro de haberlo resuelto. ¡Buena suerte con tus pruebas/experimentos! Por cierto: Android Forensics de Andrew Hoog puede ser útil, aunque ya no es tan nuevo (he traducido el libro al alemán para mi editor, así que sé que lo recomiendo;) Un poco caro (Elsevier, sí), pero tal vez puedas hacerse con una "copia usada" al menos.
Una actualización tardía: como está usando Linux, puede interesarle echar un vistazo a mi proyecto Adebar , que también genera scripts de shell con todos los comandos necesarios para extraer ddimágenes de todas las particiones de su dispositivo (sin modificar el dispositivo de ninguna manera). manera; simplemente "envía" su salida de vuelta al "emisor", por lo que las imágenes se almacenan directamente en su máquina Linux).
¿Crear una imagen dd de un Android 4.4.4 para análisis forense?
RespuestasAquíPolítica de privacidad1y, 0v