Android设备数据镜像取证
本帖最后由 ranfs 于 2019-6-8 18:58 编辑在Windows系统上,有winhex等神器,可以方便的完成镜像取证等工作,如何将Android系统的用户分区数据给winhex等分析?除了通过dd等工具镜像为文件外,本文将介绍一种方法,将更方便的完成Android系统数据镜像取证。
准备工作
一台被镜像取证的Android设备
一台电脑运行的Windows系统
Android设备需要root,并开启USB调试模式,使用USB线连接到Windows系统。
Android设备相关操作
下载ADB工具和驱动
ADB主页:adbshell.com/downloads
adb工具下载地址:adbshell.com/upload/adb.zip
adb驱动下载地址:dl.adbdriver.com/upload/adbdriver.zip
假定adb工具,解压到D:\tmp\adb目录,并安装adbdriver驱动。
下载RFSD
RFSD是跨平台的文件操作服务,在安卓设备里运行该服务,可实现读取安卓存储数据通过USB线传給电脑,电脑使用该数据虚拟出磁盘。
RFSD主页:ranfs.com/cn/?RFSD
下载地址:ranfs.com/userfiles/downloads/rfsd/linux/rfsd-linux-armv4tl.zip
把rfsd-linux-armv4tl.zip压缩包里的rfsd也解压到,D:\tmp\adb目录
注:如果是64位的arm处理器,需要下载rfsd-linux-aarch64.zip
下载RFSD到安卓设备,并用ROOT权限运行
打开cmd,切换到d:\tmp\adb目录下,执行如下命令。
adb devices
adb forward tcp:6688 tcp:6688
adb push rfsd /data/local/tmp
adb shell
su
mount
cd /data/local/tmp
chmod 755 rfsd
./rfsd -d
红圈里的/dev/stl11,为用户数据分区,必须在/data的前面,在您的设备上可能会不一样。
注:这里存在个问题:rfsd下载到数据分区,会导致数据恢复时,删除数据可能被覆盖,如需要下载到不是数据分区,请自行查找相关方法,目的只有一个,只要能把rfsd放进设备里,用root权限运行起来即可。
Windows上相关操作
在Windows系统上,下载RFDK并运行,RFDK是虚拟磁盘驱动器,可以把远程硬盘虚拟为本地磁盘。
RFDK主页:ranfs.com/cn/?RFDK
下载地址:ranfs.com/pub/rfdk/windows/rfdk.zip
下载到本地解压,执行install.bat等待安装完成,更多的帮助见安装包里的:rfdk-cn.pdf
rfdk-gui挂载磁盘
在Windows上运行rfdk-gui,新建客户端连接如下图:
输入ip地址127.0.0.1,点击确定添加完成,这时主界面上会显示安卓客户端,拥有的相关存储设备列表。
双击挂载点为/data/的栏目,会弹出挂载磁盘配置对话框,默认只读,确定后就完成了磁盘挂载。
winhex打开磁盘
使用winhex等工具,打开\.\PhysicalDrive3,完成对安卓设备用户数据分区的镜像取证等工作。
总结:在上面的操作中,安卓设备部署程序上还是有些麻烦,如果只是镜像数据分区,可以下载RANFS-安卓镜像取证工具,下载地址:ranfs.com/cn/?RFAI,提供一键连接(即完成部署程序工作)及一键挂载磁盘,写作本文的目的只是抛砖引玉,为需要手动操作的用户。
遇到不能解决的问题,请联系:tech@ranfs.com, 或加QQ群:599829506。
330wang 就是牛 确实是大牛! 问题是现在的手机 咋root 开 miao5858598 发表于 2020-1-11 12:36
问题是现在的手机 咋root 开
的确root越来越难 本文只能提供相关工具 实现方便的镜像提取 牛逼克拉斯 root实在是太难了,鸿蒙系统啊 没有root 一切都是镜中花 9008模式
页:
[1]