Содержание статьи
Предисловие
Если iOS-девайсы выпускает лишь корпорация Apple, то мобильные устройства на Android — просто колоссальное число производителей. Поэтому и способов извлечения данных несколько. Если ты читал мою статью про мобильную криминалистику Apple-девайсов (ссылка выше), то знаешь, что эти самые способы делятся на три группы: извлечение на логическом уровне, извлечение на уровне файловой системы и извлечение на физическом уровне. И сейчас мы подробно разберем каждый из способов.
WARNING
Статья адресована специалистам по безопасности и тем, кто собирается ими стать. Вся информация предоставлена исключительно в ознакомительных целях. Ни редакция, ни автор не несут ответственности за любой возможный вред, причиненный материалами данной статьи.
Извлечение данных на логическом уровне
Разумеется, наиболее простой способ логического извлечения — пресловутое резервное копирование посредством Android Debug Bridge. Сделать это довольно легко — достаточно активировать в настройках устройства отладку по USB, подключить его к компьютеру и воспользоваться следующей командой:
adb backup -f "F:\forensic_backup.ab" -apk -shared -allПервый ключ, -apk, говорит ADB бэкапить APK-приложения; второй, -shared, позволяет включить в бэкап данные приложений и содержимое карты памяти, если последняя имеется; третий, -all, добавит в резервную копию все приложения, в том числе системные, что может пригодиться при расследовании инцидентов, связанных с малварью. И все бы ничего, вот только современные устройства позволяют сохранять в такую резервную копию далеко не все. Например, в него не входит ни список контактов, ни SMS-сообщения, разве что их фрагменты из logs.db.
Чтобы побороть такую несправедливость, разработчики криминалистического программного обеспечения, например Oxygen Software и Magnet Forensics, включают в свои инструменты так называемые приложения-агенты, которые устанавливаются на целевое устройство и позволяют извлечь вожделенные базы данных. Например, mmssms.db, как несложно догадаться, содержит сведения о переданных и полученных SMS и MMS. Как ты уже понял, зачастую форензик-софтом для логического извлечения используется все тот же ADB, а полученный бэкап распаковывается и обогащается данными, извлеченными приложением-агентом. Кстати, если ты хочешь сам распаковать такой бэкап, то благодаря опенсорсному инструменту adbextractor ты можешь с легкостью это сделать:
java -jar abe.jar unpack backup.ab backup.tarВ результате получишь tar-архив с содержимым твоего ADB-бэкапа.
Извлечение данных на уровне файловой системы
Так как в последнее время, особенно с выходом Android Nougat, смартфоны с шифрованием перестали быть редкостью, этот способ извлечения данных наиболее приемлем. Как ты наверняка знаешь, просто так получить полный доступ к файловой системе пользовательского раздела нельзя, для этого нужны права суперпользователя. На этом подробно останавливаться я не буду. Уверен, в твоем арсенале найдется с десяток инструментов, позволяющих получить заветный root-доступ на Android-девайсе (а если нет, советую изучить материал по этой ссылке, ну и Гугл тебе в помощь).
Как понимаешь, это не самый гуманный способ, особенно если говорить о мобильной криминалистике, ведь он оставляет массу следов в памяти устройства, например добавит приложение SuperSU, а в случае KingoRoot и еще парочку бесполезных приложений. Тем не менее временами приходится использовать и такие сомнительные методы: здесь главное — все тщательно документировать. Разумеется, не все root-методы одинаково вредны, иногда можно получить временный root-доступ, который вполне себе криминалистически правильный.
Есть и более приемлемый способ — так называемый Nandroid-бэкап. Здесь на помощь криминалисту приходят всевозможные кастомные рекавери-прошивки, например TWRP. Кстати, ребята из Oxygen Software сделали свои собственные, очищенные от всевозможного мусора и максимально приближенные к криминалистическим стандартам, о них мы поговорим позже, когда займемся извлечением данных на физическом уровне.
Вернемся к TWRP и Nandroid. Такой бэкап, в отличие от пресловутого ADB, позволяет сделать практически точную копию состояния твоего Android-девайса в определенный момент времени, а это значит, что абсолютно все данные приложений достанутся криминалистам. И да, сложный графический пароль твои данные едва ли спасет. А вот заблокированный загрузчик очень даже может, так как в этом случае прошить кастомное рекавери едва ли получится. Такие смартфоны очень расстраивают криминалистов, уж поверь мне.
Итак, что же нам понадобится для создания Nandroid-бэкапа? Рассмотрим на примере самых распространенных Android-девайсов — тех, что произведены группой компаний Samsung. Во-первых, нужен подходящий образ рекавери, его можно найти на официальном сайте TWRP. Во-вторых, свеженькая (а иногда и не очень свеженькая) версия Odin — он-то и позволит залить прошивку в смартфон.
Продолжение доступно только участникам
Вариант 1. Присоединись к сообществу «Xakep.ru», чтобы читать все материалы на сайте
Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», позволит скачивать выпуски в PDF, отключит рекламу на сайте и увеличит личную накопительную скидку! Подробнее
Вариант 2. Открой один материал
Заинтересовала статья, но нет возможности стать членом клуба «Xakep.ru»? Тогда этот вариант для тебя! Обрати внимание: этот способ подходит только для статей, опубликованных более двух месяцев назад.
Я уже участник «Xakep.ru»
