在kali系統上,有不少好的工具,可以方便的完成映象取證等工作,但如何將安卓系統的儲存映象給kali系統相關工具進行分析呢?除了通過dd映象外,本文將介紹一種方法,將相對方便的完成該工作。一台被映象取證的手機執行的是安卓系統,並且已經root和開啟usb除錯模式
一台取證電腦執行的kali系統
手機和kali系統之間使用usb線連線
注意:不少手機root時,要擦除資料分割槽,如果遇到這種情況,請找到root並能保資料分割槽的方法。否則強行root,將導致資料被擦除,再也無法恢復!!!
rfbd是跨平台的nbd-server,通過該服務實現讀取安卓系統儲存資料
主頁:
# 檢視手機裝置是否存在
adb devices
# 把rfbd 拷貝到手機
adb push rfbd /data/local/tmp
# 10809是nbd伺服器端口
adb forward tcp:10809 tcp:10809
# 6780是rfbd web除錯埠 可能會用到
adb forward tcp:6780 tcp:6780
adb shell
sucd /data/local/tmp
chmod 755 rfbd
mount
# 執行 rfbd -d 為deamon模式
./rfbd -d
# 列舉裝置可用磁碟 磁碟的相關資訊
sudo nbd-client -l 127.0.0.1
# /dev/stl11 為上圖紅圈 mount /data目錄掛載裝置名 要改為您自己的
# 掛載/dev/stl11 到 /dev/nbd0
sudo nbd-client -n /dev/stl11 127.0.0.1 10809 /dev/nbd0
# 接下來 可以用相關工具分析 /dev/nbd0
# 下面例子是掛載為目錄 檢視/dev/nbd0裡的相關檔案
sudo mkdir /mnt/test
sudo mount /dev/nbd0 /mnt/test
sudo umount /mnt/test
sudo nbd-client -d /dev/nbd0
安卓系統檔案結構
這是公尺1的根目錄 adb連線的時候會有是否永久允許除錯,這個就是允許列表,根ssh rsa免登是一樣的。cache 系統快取,還有一些日誌檔案,看起來是比較底層的log,recovery和小公尺自用的adb。data anr dalvik cache data 系統做cache的資料庫 cache...
kindle安卓更新韌體 已經裝過安卓系統
具體步驟為 我的電腦 右鍵 屬性 高階 環境變數 在系統變數中找到path 不分大小寫 雙擊它 在其變數值 v 中新增 c windows system32 新增方法為 在原變數值後面加英文分號,接著分號後面貼上 c windows system32 就可以了,然後一路確定。電腦提示安裝驅動,則按照...
安卓 Android 系統目錄理解
android 通常有以下分割槽 system分割槽 就是我們刷rom的分割槽 data分割槽 分割槽就是我們裝apk的分割槽 catch分割槽 是快取分割槽 sdcard分割槽 就是掛載的sd卡。我們可以在adb中使用df 來檢視分割槽情況。1 跨分割槽不能用 mv命令來拷貝。但是可以用cp命令。...