kali对安卓系统的镜像取证
在kali系统上,有不少好的工具,可以方便的完成镜像取证等工作,但如何将安卓系统的存储镜像给kali系统相关工具进行分析呢?除了通过dd镜像外,本文将介绍一种方法,将相对方便的完成该工作。
准备工作
一台被镜像取证的手机运行的是安卓系统,并且已经root和开启usb调试模式
一台取证电脑运行的kali系统
手机和kali系统之间使用usb线连接
注意:不少手机root时,要擦除数据分区,如果遇到这种情况,请找到root并能保数据分区的方法。否则强行root,将导致数据被擦除,再也无法恢复!!!
安装软件
安装nbd-client和adb
sudo apt install nbd-client adb
sudo modprobe nbd
RFBD安装和部署
RFBD是跨平台的nbd-server,通过该服务实现读取安卓系统存储数据
主页:http://ranfs.com/cn/?RFBD
wget http://ranfs.com/pub/rfbd/linux/rfbd-linux-armv4tl.zip
# 测试手机32位的 您的手机可能是64位 需要下载rfbd-linux-aarch64.zip
#wget http://ranfs.com/pub/rfbd/linux/rfbd-linux-aarch64.zip
unzip rfbd-linux-armv4tl.zip
cd rfbd
# 查看手机设备是否存在
adb devices
# 把rfbd 拷贝到手机
adb push rfbd /data/local/tmp
# 10809是nbd服务器端口
adb forward tcp:10809 tcp:10809
# 6780是rfbd web调试端口 可能会用到
adb forward tcp:6780 tcp:6780
adb shell
su
cd /data/local/tmp
chmod 755 rfbd
mount
# 运行 rfbd -d 为deamon模式
./rfbd -d
好了,基本工作准备完成。
挂载存储镜像和分析
# 枚举设备可用磁盘 磁盘的相关信息
sudo nbd-client -l 127.0.0.1
# /dev/stl11 为上图红圈 mount /data目录挂载设备名 要改为您自己的
# 挂载/dev/stl11 到 /dev/nbd0
sudo nbd-client -N /dev/stl11 127.0.0.1 10809 /dev/nbd0
# 接下来 可以用相关工具分析 /dev/nbd0
# 下面例子是挂载为目录 查看/dev/nbd0里的相关文件
sudo mkdir /mnt/test
sudo mount /dev/nbd0 /mnt/test
卸载存储镜像
当前使用完成,执行下面命令进行卸载
sudo umount /mnt/test
sudo nbd-client -d /dev/nbd0
遇到不能解决的问题,请联系:tech@ranfs.com, 或加QQ群:599829506。