如何在Android Forensics上进行物理采集?

关注 2018-09-11 16:01:53 查看数 10919 ,评论数 0 技术控

一.首先需要了解的事项:

逻辑存储 我们需要从根本上把握逻辑磁盘的概念。从根本上说,逻辑磁盘通常也被称为虚拟磁盘。虚拟磁盘就是在内存中虚拟出一个或者多个磁盘的技术。虚拟磁盘可以利用多个物理磁盘驱动器存储的存储容量。 根据逻辑存储的概念向用户提供连续的存储区域。当然,它不是物理存储,因为它不仅仅依赖于一个磁盘。它具有在多个物理单元上存储文件的功能。大多数现代操作系统都提供逻辑卷管理。 系统分区和数据分区: 系统分区是系统根目录所在的位置。换句话说,操作系统文件夹包含在这样的系统分区内。例如,根目录(/)包含Linux平台安装的所有操作系统文件。 数据分区基本上是磁盘分区,其中包含用户在硬盘上存储的所有数据。它与操作系统无关,只与用户有关。 还有另一个称为启动分区的分区。它含有引导装程序,用于引导操作系统。例如,/ boot / 目录中包含启动文件的目录(例如内核,initrd和引导加载程序GRand Unified Bootloader(GRUB))。 数据采集​​方法: 在移动取证领域需要了解的一个有趣话题是数据采集。但是,为什么首先就要了解它?由于需要逻辑图像来研究系统,我们将这种提取数据的过程称为数据采集。实际上有三种主要的数据采集类型,我们将对其进行详细分析。 手动采集: 依赖移动设备的用户界面以完成调查过程。在浏览设备时,检查者拍摄或捕获每个屏幕的图像。虽然在此过程中不需要其他工具,但手动采集有很大的缺陷。除了耗时,并非所有数据都可以由用户做可视化处理,因此不能通过该方法恢复所有数据。 物理采集: 对整个物理存储介质进行逐位拷贝。这似乎与标准数字取证上的物理采集过程非常相似,除了删除的数据之外,驻留在设备上的数据加上未分配的空间都是通过这种方法复制的。 逻辑采集: 设备制造商的应用程序编程接口依赖于此过程。手机上的内容通过这样的原始接口与个人计算机同步。有很多免费的软件工具可以用来完成这一过程。通过这种从根本上提取设备用户可访问的数据的方法,不会恢复已删除的数据或未分配的空间。

二.如何用dd映像Android文件系统?

事实上,有很多免费工具和商业工具可用于获取特定分区的图像。但是,所有这些工具都要求用户获得root权限。在通过物理转储获取分区映像之前,即使使用商业工具,设备也会暂时获得root权限。 dd工具是取证中最常用的工具之一,以便为数据提取过程创建映像。 换句话说,它用于将指定的输入文件转换并复制为输出文件。 1.如果已连接实际设备或模拟器,请root设备。 2.在Android系统默认情况下,“dd”工具位于“/ system / bin”中。 3.使用“mount”命令,这将使我们熟悉设备上分区的位置,从中我们可以知道所需分区的位置。 4.分析结果,我们得到了最后一张图片,很明显可以看出系统分区具有以下条目:/dev/block/mtdblock1。 5.另一方面,也可以很明显看出数据分区具有以下条目:/dev/block/mtdblock1。 6.很明显,SD卡pasd-cardn有以下条目:/dev/block/vold/179:0。 7.必须理解的一点是,获取上述任何分区的图像的步骤和方法都一样。但是,数据分区将是本文的重点。 8.可以使用以下依赖于“dd”工具的命令来提取数据分区:dd if=/dev/block/mtdblock1 of=/mnt/sdcard/output.img 9.我们需要了解这种命令。if表示输入文件,of表示输出文件。命令完成后,图像应保存在SD卡上,其命令名称为“output.img”仍然可以选择通过“bs”选项来定制block大小。 10.使用“adb pull”命令来提取文件非常简单。使用即将发布的命令将导致将图像文件提取到我们的工作站:adb pull /mnt/sdcard/output.img 11.应该关注最后一行中的命令,因为必须指定新的SD卡目的地; 否则,图像文件将覆盖在设备的同一SD卡分区上。 12.请注意,现在可用来调查的图像应该存在于本地计算机上。然而,这种方法的唯一缺陷是必须使用SD卡; 否则,无法使用这种方法。
交流评论(0)
Loading...
点击 ,就能发表评论哦~如果您还没有账号,请 一个吧
css.php
正在加载中...