Buenas a todos, hoy finalizaremos el proceso de adquisición de evidencias en Android, para ello, la semana pasada aprendimos a rootear el terminal para poder acceder con permisos de adminitración y ejecutar comandos especiales, como por ejemplo "DD".
Antes de clonar las particiones de un sistema Android, deberemos conocerlas. Para listarlas podremos entrar con la instrucción "adb shell" al móvil, como aprendimos la semana pasada, y ejecutar la instrucción "ls /dev/mtd". Os aparecerán distintas particiones que comienzan por mtd (siglas de Memory Technology Device, se trata de un subsistema Linux utilizado en medios flash como en móviles), es similar a los puntos de montaje hd* de los discos IDE o sd* de los SCSI o SATA. Junto con cada una de las particiones nos encontraremos con otra similar que termina por las letras ro (read only).
Ahora bien, ¿cómo sabremos que partición se corresponde con qué identificador?, para ello debemos acceder al fichero /proc/mtd, donde se encuentra la correspondencia de particiones:
Ahora que ya sabemos a que partición corresponde cada identificador, si quisiesemos clonar bit a bit la partición "boot" simplemente deberíamos hacer un dd, poniendo como origen "/dev/mtd/mtd2" y como destino la sdcard (importante que tenga espacio suficiente):
Una vez realizada la clonación podremos traernos la imagen de la tarjeta SD a través del comando "adb pull ORIGEN DESTINO":
Una vez que tengamos la imagen en el equipo podremos abrirla con alguna herramienta como Autopsy o una de mis preferidas, FTK Imager:
Bien eso es todo por hoy, seguiremos en próximos artículos de la cadena hablando de Forense.
Saludos! :)
Excelente art! Ahora me leo las dos primeras partes :)
ResponderEliminarMuy buen tutorial, no me dedico a esto pero deberas creo que esta parte del tutorial me va ayudar en lo que quiero hacer en mi android, quiero clonar todas las particiones que tengo de esta manera. Tengo una duda hay una parte del tutorial que creo esta mal es donde da el comando para clonar dice: # dd if=/dev/mtd/mtd2 of=/sdcard/boot.img bs=2048 . Hasta aqui entien y todo bien, el archivo que se generaria en la sd es boot.img que es la imagen de la particion en este caso boot. Ahora luego al lanzar el comando adb pull (q entiendo que es para extraer el archivo de la sd) por que dice destino.dd? acaso el archivo que se creo fue el boot.img? esa es mi duda el archivo se le puede poner cualquiera de estas dos extensiones? entiendo que la extension .dd es para software de analisis de evidencia digital, pero yo el que necesito es el archivo con extension .img, se puede extraer de igual forma? de antemano gracias por la respuesta
ResponderEliminar