Herramientas forense para ser un buen CSI. Parte XXI: Clonación en Android III de III

Buenas a todos, hoy finalizaremos el proceso de adquisición de evidencias en Android, para ello, la semana pasada aprendimos a rootear el terminal para poder acceder con permisos de adminitración y ejecutar comandos especiales, como por ejemplo "DD".

Antes de clonar las particiones de un sistema Android, deberemos conocerlas. Para listarlas podremos entrar con la instrucción "adb shell" al móvil, como aprendimos la semana pasada, y ejecutar la instrucción "ls /dev/mtd". Os aparecerán distintas particiones que comienzan por mtd (siglas de Memory Technology Device, se trata de un subsistema Linux utilizado en medios flash como en móviles), es similar a los puntos de montaje hd* de los discos IDE o sd* de los SCSI o SATA. Junto con cada una de las particiones nos encontraremos con otra similar que termina por las letras ro (read only).

Ahora bien, ¿cómo sabremos que partición se corresponde con qué identificador?, para ello debemos acceder al fichero /proc/mtd, donde se encuentra la correspondencia de particiones:

Ahora que ya sabemos a que partición corresponde cada identificador, si quisiesemos clonar bit a bit la partición "boot" simplemente deberíamos hacer un dd, poniendo como origen "/dev/mtd/mtd2" y como destino la sdcard (importante que tenga espacio suficiente):

Una vez realizada la clonación podremos traernos la imagen de la tarjeta SD a través del comando "adb pull ORIGEN DESTINO":

Una vez que tengamos la imagen en el equipo podremos abrirla con alguna herramienta como Autopsy o una de mis preferidas, FTK Imager:

Bien eso es todo por hoy, seguiremos en próximos artículos de la cadena hablando de Forense.

Saludos! :)