hacktricks/src/todo/android-forensics.md

Android Forensics

{{#include ../banners/hacktricks-training.md}}

ロックされたデバイス

Androidデバイスからデータを抽出するには、デバイスがロック解除されている必要があります。ロックされている場合は、次のことができます：

• デバイスにUSB経由のデバッグが有効になっているか確認する。
• 可能なスムッジ攻撃を確認する。
• ブルートフォースを試みる。

データ取得

adbを使用してandroidバックアップを作成し、Android Backup Extractorを使用して抽出します： java -jar abe.jar unpack file.backup file.tar

ルートアクセスまたはJTAGインターフェースへの物理接続がある場合

• cat /proc/partitions（フラッシュメモリへのパスを検索します。一般的に最初のエントリは mmcblk0 で、全体のフラッシュメモリに対応します）。
• df /data（システムのブロックサイズを確認します）。
• dd if=/dev/block/mmcblk0 of=/sdcard/blk0.img bs=4096（ブロックサイズから得た情報を使用して実行します）。

メモリ

Linux Memory Extractor (LiME)を使用してRAM情報を抽出します。これは、adb経由でロードされるカーネル拡張です。

{{#include ../banners/hacktricks-training.md}}