ComputerBase Menü
Aktuelles

IT-Forensik Android Samsung S5

J

jul77

Newbie
Registriert
März 2022
Beiträge
4
Hallo zusammen,

ich mache grad nen IT-Forensik Kurs (wollte ich nicht war aber mit drin im Paket) wo ich ein Samsung S5 untersuchen soll. Habe das Handy gerootet und SSH aufgebaut. Kann mir jemand sagen wie ich ein Image von dem Smartphone erzeugen kann ohne großartig Apps drauf zu installieren?
 
Ok aber gibt es ne Möglichkeit so Image zu erzeugen?
 
Hito360 schrieb:
vermutlich weil schon seit ner ganzen Weile keine 10x00 Intel CPUs mehr hergestellt werden
Zum Vergrößern anklicken....
Ähm... im Thema verrutscht? ^^

Aber die Antwort würde mich auch sehr interessieren :) Ob das mit den klassischen Rootkits funktioniert, könnte sicher jemand in den XDA-Developers-Foren wissen.
 
  • Gefällt mir
Reaktionen: DJMadMax
komische Frage: wird dir in dem Kurs nicht beigebracht wie das zu tun ist? :D

bin nicht schlauer und ich geb ja auch zu:
bei nem unfreiwilligen Kurs ist meine Aufmerksamkeit sicherlich nicht maximal :) :)
 
  • Gefällt mir
Reaktionen: DJMadMax
Hito360 schrieb:
komische Frage: wird dir in dem Kurs nicht beigebracht wie das zu tun ist? :D
Zum Vergrößern anklicken....
Ja schön wäre es....Man hat nur gesagt ja man kann das bzw das tun aber wie es geht wurde nicht gesagt. Habe jetzt Stunden mit suchen verbracht aber bin nicht zum Ziel gekommen. Der Kurs ist nur ein Plus Punkt aber würde es trotzdem gerne wissen wie es geht auch wenn es gar nicht mehr aktuell ist weil die Smartphones jetzt eh eine Basisverschlüsselung haben. Die Anforderungen an den Kurs sind zu hoch die in 4 Wochen vermittelt werden sollten! Danke trotzdem für einen Kommentar! Bin froh das überhaupt jemand antwortet!
Ergänzung ()

Hito360 schrieb:
komische Frage: wird dir in dem Kurs nicht beigebracht wie das zu tun ist? :D

bin nicht schlauer und ich geb ja auch zu:
bei nem unfreiwilligen Kurs ist die Aufmerksamkeit sicherlich nicht maximal :) :)
Zum Vergrößern anklicken....
Das ist auch nicht mein Fachgebiet die Forensik
 
Der Speicherchip eines Handys (eMMC oder eUFS) ist im System deklariert als /dev/block/mmcblk0. Er besitzt immer eine GUID Partitionstabelle (GPT).

Jede Partition (/system, /vendor usw.) wird dann mit der Erweiterung p1, p2, p3,..., pn deklariert. Gleichzeitig wird jede Partition mithilfe eines Symlinks auch unter der Partitionsbezeichnung geführt, z.B.:
Code: 
/dev/block/bootdevice/by-name/system (=> /dev/block/mmcblk0p1)

Um ein Image des gesamten Handys zu erstellen, musst du also ein Image von /dev/block/mmcblk0 erstellen. Auf die Verschlüsselung muss keine Rücksicht genommen werden, denn das S5 ist standardmäßig nicht verschlüsselt. Es kann nur über die Einstellungen manuell verschlüsselt werden (Full Device Encryption, FDE).

Jetzt hast du mehrere Möglichkeiten, um auf /dev/block/mmcblk0 zuzugreifen und dein Image zu erstellen:
  • im lfd. System per Terminalapp und Root-Zugriff
  • über eine Custom Recovery (TWRP, Orange Fox) und deren Terminalfunktion
  • über eine ADB-Verbindung, während du in einer Custom Recovery bist

Wichtig: Eine ADB-Verbindung im lfd. System kann nicht auf /dev/block/mmcblk0 zugreifen. Festgelegt wird das durch den Eintrag ro.debuggable, deren Wert im lfd. System immer 0 ist. Bei einer Custom Recovery z.B. ist er immer 1 und somit hat ADB hier die Zugriffsrechte (s. getprop ro.debuggable).


Der eleganteste Weg wäre in der Custom Recovery via ADB-Verbindung:
Code: 
adb pull /dev/block/mmcblk0
Der Befehl erstellt das Image 'mmcblk0' in dem Verzeichnis, in dem sich deine cmd.exe aktuell befindet.


Besitzt die Custom Recovery eine Terminalfunktion:
Code: 
dd if=/dev/block/mmcblk0 of=/external_sd/mmcblk0.img
Hierbei musst du beachten, dass das Image logischerweise nicht im internen Speicher erstellt werden darf, da der interne Speicher ein Teil des Images selbst ist! Glücklicherweise besitzt das Galaxy S5 einen Slot für eine SD-Karte. Möglich wäre aber auch ein USB-Stick.


Im laufenden System per Terminalapp und Root-Zugriff:
Code: 
su
dd if=/dev/block/mmcblk0 of=PFAD_SD-KARTE|PFAD_USB-STICK
Diese Lösung ist natürlich sehr "unsauber", da du in deinem Image eine Kopie von /data erstellst, während /data vom System genutzt und beschrieben wird. Aber als Ergebnis erhältst du trotzdem ein Image des gesamten Handys.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

Mort626
Suche: Literatur zu Kali Linux/IT-Forensik
Antworten
4
Aufrufe
1.400
DekWizArt
DekWizArt
NoemSis
IT-Forensik Tool / Retuschen erkennnen
Antworten
1
Aufrufe
1.396
Gandalf2210
G
chancaine
Umstieg von iphone 5 auf Android - Samsung S4 oder LG G2
Antworten
14
Aufrufe
3.090
Boogeyman
Boogeyman

Passend zum Thema

Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz