Android-Geräte mit Linux-Bordmitteln auslesen

Die Protokolldateien des Androiden auswerten

Zur Logfile-Auswertung muss der Administrator keinen kompletten Dateidump durchführen, er kann im Dalvik-Debugger direkt auf fünf Funktionen zugreifen:

»Show process status....« zeigt die laufenden Prozesse auf dem angeschlossenen Gerät,
»Dump Device State...« dessen Status,
»Dump App State...« die installierten Anwendungen.
»Dump Radio State...« liefert Informationen über Funkverbindungen,
»Run logcat« das Systemprotokoll.

Das dritte Tool im Bunde ist das nicht weniger wichtige Kommandozeilentool »adb« , die Android Debug Bridge. Ein erster Kontakt erfolgt an der Bash mit dem Befehl »adb devices« :

List of devices attached
HT0ABR200609 device

Eine Übersicht des Dateisystems erreicht der Anwender mit Hilfe von »adb shell« (Listing 3).

Listing 3

adb shell

01 $ pwd
02 /
03 $ ls -l
04 drwxr-xr-x root system 2011-08-08 21:26 app-cache
05 dr-x------ root root 2011-08-08 21:25 config
06 lrwxrwxrwx root root 2011-08-08 21:25 sdcard -> /mnt/sdcard
07 drwxr-xr-x root root 2011-08-08 21:25 acct
08 drwxrwxr-x root system 2011-08-08 21:25 mnt
09 lrwxrwxrwx root root 2011-08-08 21:25 vendor -> /system/vendor
10 lrwxrwxrwx root root 2011-08-08 21:25 d -> /sys/kernel/debug
11 lrwxrwxrwx root root 2011-08-08 21:25 etc -> /system/etc
12 drwx------ root root 2011-08-10 11:40 devlog
13 drwxrwx--- system cache 2011-08-10 08:14 cache
14 -rw-r--r-- root root 659 1970-01-01 01:00 ueventd.vision.rc
15 -rw-r--r-- root root 4261 1970-01-01 01:00 ueventd.rc
16 -rw-r--r-- root root 0 1970-01-01 01:00 ueventd.goldfish.rc
17 drwxr-xr-x root root 2011-08-08 20:48 system
18 drwxr-xr-x root root 2011-08-08 21:25 sys
19 drwxr-x--- root root 1970-01-01 01:00 sbin
20 dr-xr-xr-x root root 1970-01-01 01:00 proc
21 -rwxr-x--- root root 5024 1970-01-01 01:00 init.vision.rc
22 -rwxr-x--- root root 19601 1970-01-01 01:00 init.rc
23 -rwxr-x--- root root 1677 1970-01-01 01:00 init.goldfish.rc
24 -rwxr-x--- root root 103132 1970-01-01 01:00 init
25 -rw-r--r-- root root 118 1970-01-01 01:00 default.prop
26 drwxrwx--x system system 2011-08-09 01:21 data
27 -rw-r--r-- root root 1398 1970-01-01 01:00 cwkeys
28 -rw-r--r-- root root 460 1970-01-01 01:00 bootcomplete.rc
29 drwx------ root root 2011-06-13 04:31 root
30 drwxr-xr-x root root 2011-08-08 21:25 dev
31 $

File Carving: Vermeintlich gelöschte Daten auslesen

Bei der Suche nach gelöschten Dateien ist File Carving [16] angesagt. Die wohl bekanntesten Vertreter sind Foremost und Scalpel, beide in den gängigen Repositories zu finden.

Der folgende Abschnitt zeigt den Einsatz von Scalpel an einem virtuellen, mit dem Android-SDK erstellten Smartphone. Als Imagefile dient »userdata.img« . Die Konfigurationsdatei von Scalpel befindet sich in »/etc/scalpel« , die Ergebnisse landen in »/tmp/recovered« . Der Carving-Vorgang soll nach Gifs, JPGs und SQLite-Datenbanken suchen. Leider fehlen die Informationen zu SQLite-Headern in »scalpel.conf« . Deshalb fügt der Admin die Zeile für die Header- und Footer-Informationen manuell am Ende der Konfigurationsdatei ein:

# SQLite für Android
db y 409600 SQLite\x20format

Anschließend startet »scalpel -c /etc/scalpel/scalpel.conf -o /tmp/carved userdata.img« den Carver (Listing 4). Im Ausgabeverzeichnis warten jetzt die gefundenen Bilder, SQLite-Datenbanken hat das Übungsbeispiel auf dem virtuellen Android nicht gefunden.

Listing 4

Scalpel

01 Scalpel version 1.60
02 Written by Golden G. Richard III, based on Foremost 0.69.
03
04 Opening target "/root/.android/avd/Android_Forensik.avd/userdata.img"
05
06 Image file pass 1/2.
07 userdata.img: 100.0% |*****************|    3.9 MB    00:00 ETAAllocating work queues...
08 Work queues allocation complete. Building carve lists...
09 Carve lists built.  Workload:
10 gif with header "\x47\x49\x46\x38\x37\x61" and footer "\x00\x3b" --> 0 files
11 gif with header "\x47\x49\x46\x38\x39\x61" and footer "\x00\x3b" --> 2 files
12 jpg with header "\xff\xd8\xff\xe0\x00\x10" and footer "\xff\xd9" --> 70 files
13 db with header "\x53\x51\x4c\x69\x74\x65\x20\x66\x6f\x72\x6d\x61\x74" and footer "" --> 0 files
14 Carving files from image.
15 Image file pass 2/2.
16 userdata.img: 100.0% |****************|    3.9 MB    00:00 ETAProcessing of image file complete. Cleaning up...
17 Done.

Wer detaillierte Berichte und Reports der auf dem Androiden gefundenen Daten erhalten will, sollte sich Via Extract von Via Forensics [17] ansehen. Für Strafverfolgungsbehörden gibt es eine Demoversion von Via Extract gratis. Auch ein VMware-Image mit vorinstalliertem Via Extract steht nach der Registrierung bereit. Diese Demoversion beschränkt jedoch die jeweiligen Auswertungsergebnisse auf zehn Einträge.

Sowohl die Demo- als auch die Vollversion stellt der Anbieter als VMware-Image auf einem Ubuntu-i386-Desktop mit XFCE-Oberfläche (10.10) zur Verfügung. Der Hersteller hält sich allerdings derzeit noch etwas bedeckt, was die Installation auf einem echten System anbelangt. Via Extract bringt Module zur Auswertung und Berichterstellung für zahlreiche Mobiltelefone, auch jenseits von Android (Abbildungen 5 und 6).