零、前言
学习安卓取证使用免费的开源工具向您展示如何从安卓设备上合法恢复数据。我们鼓励你们所有人,从初学者到专家,按照一步一步的方向学习如何获取和检查证据,并对安卓取证过程有更深的理解。商业取证工具通常会给审查员一个按钮(通常称为“查找证据”按钮)。这本书深入幕后,展示了这些工具实际上在做什么,让你更深入地了解它们是如何工作的。商业取证工具也经常无法从第三方应用中恢复数据;有太多的应用可以用来编写一个涵盖所有应用的工具。这本书向您展示了如何手动分析十几个流行的应用。它教授了理解数据的技术和程序,这些数据可以用于分析几乎任何其他应用。
这本书涵盖了什么
第 1 章、介绍安卓取证,介绍移动取证、一般方法以及面临的挑战。本章还概述了安卓体系结构、安全特性、引导过程等。
第 2 章设置安卓取证环境,介绍了为检查安卓设备而建立的取证设置需要执行的步骤。本章还解释了 ADB 命令在安卓设备上的使用。
第 3 章、了解安卓设备上的数据存储,详细解释了设备中存储的数据类型、存储位置、存储方式以及存储这些数据的文件系统的详细信息。
第 4 章、从安卓设备中逻辑提取数据,涵盖了使用自由和开源工具的各种逻辑数据提取技术。涵盖的逻辑方法包括亚行拉取、亚行备份、亚行转储系统信息和 SIM 卡提取。绕过设备锁定屏幕也包括在内。
第 5 章、从安卓设备物理提取数据,演示了各种物理数据提取技术。物理方法包括 dd 和 nanddump,以及使用 netcat 将数据写入考官的计算机。RAM 和 SD 卡成像也涵盖在内。
第 6 章从安卓设备中恢复删除的数据,概述了从安卓设备中恢复删除的数据。本章介绍了恢复从 SD 卡和手机内部存储器中删除的数据的过程。
第 7 章、安卓应用的取证分析,涵盖了安卓应用的取证分析、热门应用使用的数据混淆方法、安卓应用的逆向工程,以及需要用到的方法。
第八章、安卓取证工具概述,讲解了安卓设备取证分析过程中有帮助的各种开源和商用工具。
这本书你需要什么
这本书涵盖了安卓设备上的各种取证方法和技术。内容的组织方式允许任何用户检查安卓设备并进行取证调查。不需要先决知识,因为所有的主题都有解释,从基础到深入。了解移动平台,尤其是安卓,肯定会是优势。尽可能详细解释使用工具执行各种取证活动所需的步骤。
这本书是给谁的
本书面向在安卓平台上对移动取证几乎没有或基本没有经验的法医鉴定人员。它还将对计算机安全专业人员、研究人员和任何寻求更深入了解安卓移动内部的人有用。最后,对于那些试图从安卓设备上恢复意外删除的数据(照片、联系人、短信等)的人来说,这本书会派上用场。
惯例
在这本书里,你会发现许多区分不同种类信息的文本样式。以下是这些风格的一些例子和对它们的意义的解释。
文本中的码字、数据库表名、文件夹名、文件名、文件扩展名、路径名、伪 URL、用户输入和 Twitter 句柄如下所示:“在 Android 4.4 之前,所有出现在/system下的应用都被平等对待。”
代码块设置如下:
<manifest xmlns:android="http://schemas.android.com/apk/res/android" package="com.example.rohit">
<uses-permission android:name="android.permission.INTERNET" />
</manifest>
任何命令行输入或输出都编写如下:
shell@android:/ $ cat default.prop
cat default.prop
#
# ADDITIONAL_DEFAULT_PROPERTIES
#
ro.secure=1
ro.allow.mock.location=0
ro.debuggable=0
persist.sys.usb.config=mtp
新名词和重要词语以粗体显示。你在屏幕上看到的单词,例如,在菜单或对话框中,出现在文本中,如下所示:“在安卓设备中,通常通过导航到设置 | 开发者选项来找到该选项。”
注
警告或重要提示会出现在这样的框中。
类型
提示和技巧是这样出现的。
读者反馈
我们随时欢迎读者的反馈。让我们知道你对这本书的看法——你喜欢或不喜欢什么。读者反馈对我们来说很重要,因为它有助于我们开发出你真正能从中获益的标题。
要给我们发送一般反馈,只需发送电子邮件<[feedback@packtpub.com](mailto:feedback@packtpub.com)>,并在您的邮件主题中提及书名。
如果你对某个主题有专业知识,并且对写作或投稿感兴趣,请参见我们位于www.packtpub.com/authors的作者指南。
客户支持
现在,您已经自豪地拥有了一本书,我们有许多东西可以帮助您从购买中获得最大收益。
勘误表
尽管我们尽了最大努力来确保我们内容的准确性,但错误还是会发生。如果你在我们的某本书里发现了错误——可能是文本或代码中的错误——如果你能向我们报告,我们将不胜感激。通过这样做,你可以让其他读者免受挫折,并帮助我们改进这本书的后续版本。如果您发现任何勘误表,请访问http://www.packtpub.com/submit-errata,选择您的书籍,点击勘误表 提交 表格链接,并输入您的勘误表详细信息。一旦您的勘误表得到验证,您的提交将被接受,勘误表将上传到我们的网站或添加到该标题勘误表部分下的任何现有勘误表列表中。
要查看之前提交的勘误表,请前往https://www.packtpub.com/books/content/support并在搜索栏中输入图书名称。所需信息将出现在勘误表部分。
盗版
互联网上版权材质的盗版是所有媒体的一个持续问题。在 Packt,我们非常重视版权和许可证的保护。如果您在互联网上遇到任何形式的我们作品的非法拷贝,请立即向我们提供位置地址或网站名称,以便我们寻求补救。
请通过<[copyright@packtpub.com](mailto:copyright@packtpub.com)>联系我们,获取疑似盗版资料的链接。
我们感谢您在保护我们的作者方面的帮助,以及我们为您带来有价值内容的能力。
问题
如果您对本书的任何方面有问题,可以在<[questions@packtpub.com](mailto:questions@packtpub.com)>联系我们,我们将尽最大努力解决问题。
版权属于:月萌API www.moonapi.com,转载请注明出处
