Ich muss in der Lage sein, eine ISO-Datei der Verzeichnisse /mnt/sdcard und /data/ sowohl auf gerooteten als auch auf nicht gerooteten Telefonen zu erstellen (für forensische Analysen). Ältere Telefone kann ich auf meinem Linux-Rechner montieren und ausführen mkisofs
und es funktioniert perfekt. Auf neueren Geräten kann ich die Geräte jedoch anscheinend nicht mounten.
Android ist dd
in die Shell integriert, sodass ich damit auch eine ISO der Verzeichnisse erstellen kann. Abgesehen von der SD-Karte kann ich jedoch nirgendwo finden, dass ich Schreibzugriff auf das System für nicht gerootete Telefone habe.
Meine Frage ist also, wo ich auf einem Android-System Schreibzugriff erhalten kann, während ich mich in der Shell außer der SD-Karte und den Datenverzeichnissen befinde. Eine umfassendere Frage wäre, das Problem zu lösen, entweder das Gerät zu mounten oder die ISO-Datei von außerhalb der Android-Shell zu erstellen.
Aus guten Gründen (Sicherheit) ist dies ohne Root nicht möglich. Ich empfehle Ihnen, einen Blick in Andrew Hoogs Android Forensics Buch zu werfen , wo Sie viele Einblicke nicht nur in diesem speziellen Kontext, sondern auch in andere Forensik-bezogene Themen sowie allgemeine Hintergrundinformationen zu Android-Geräten und dem Android-System selbst erhalten .
Ohne Root können Sie nicht auf alle Verzeichnisse im internen Speicher zugreifen – die meisten davon werden Ihnen sogar zum Lesen verweigert, geschweige denn zum Schreiben. Wenn der Zugriff so einfach wäre, wäre alle Sicherheit weg, da Apps frei auf alles zugreifen könnten. Es gibt jedoch einige Verzeichnisse, auf die Sie Schreibzugriff erhalten könnten (wahrscheinlich, um ein Forensik-Tool zu installieren, denke ich?), Wie z. B. temporäre Verzeichnisse. Da ich nicht zu Hause bin, kann ich derzeit nicht überprüfen, welche das sein könnten (versuchen Sie z. B. /data/local
, was die Playstore-App als temporären Ordner für App-Installationen verwendet, oder überprüfen Sie mit dem mount
Befehl, welche Mount-Punkte verwenden tmpfs
- obwohl dies tmpfs
möglicherweise nicht alle Dateisysteme Ihnen gewähren voller Zugriff).
Eine vollständige Beschreibung würde den Rahmen dieser Website sprengen, da wir uns auf Endbenutzerprobleme konzentrieren; forensische spezifische Probleme sind eher nicht endbenutzerbezogen.
/data/local
(laut oben genanntem Buch) auf jeden Fall möglich sein.
Liam W