文章插图

上一篇Android-APP 安全（五） ， 通过对android系统文件系统与数据结构的认识（应用程序运行时产生的数据、数据的存储方式、存储路径、内存中可能包含的应用程序用户数据、android使用的文件系统以及查看方式等 。）可以尝试手工对android系统进行检查取证 ， 手工取证虽然繁琐以及耗费时间 ， 但是却能更好的了解android系统 。
下面是针对android系统的两种取证方式：逻辑采集以及物理采集的快速取证的介绍 。我在Android-APP 安全（四）中对逻辑采集以及物理采集的概念有过提到：


文章插图

Android取证：adb push
adb push用于将文件系统的不同部分复制到工作站中进行进一步分析 。除非对android终端设备具有root访问权限 ， 或者运行的是一个定制的只读内存（ROM） ， 否则 ， 运行在终端设备上的adb后台进行只能在拥有shell访问权限的状态下运行 ， 因此 ， 它无法访问某些与取证更加相关的文件 。但还是可以访问到一定数量的文件 。
如果需要对某些shell用户没有访问权限的文件进行访问 ， 很简单 ， 这些文件不会被复制出来 。但是 ， 如果拥有足够的访问权限 ， 这个方法就非常简单 ， 也非常有效 。
由于大多数的手机都没有root权限（至少默认情况下） ， 此技术显得没有什么价值 。然而 ， 这是一个非常强大的、需要很好理解的工具 ， 也有一些场景非常适合应用此技术 。这些场景包括：

• 对于没有root访问的终端设备 ， adb pull仍然可以用来访问非常有用的文件（如未加密的应用程序）、大多数可能包含诸如浏览器记录一类用户数据的tmpfs文件系统以及存在于/proc、/sys及其他可读目录下的系统信息 。对于具有root访问权限的终端设备 ， 获取几乎所有的目录非常简单 ， 某些存在于/data下的文件和目录将是有用的 。当使用物理技术时 ， 挂在诸如YAFFS2之类用于取证的文件系统不一定总是可行的 。如果adb运行在root访问权限下 ， 则可以使用adb pull快速地抽取文件系统的一个逻辑副本 。

由于adb不但在Android软件开发套件（SDK）中是一款免费的应用程序 ， 而且它的用途非常广泛 ， 因此 ， adb应该作为使用的终端设备上的主要逻辑工具之一 。
注：某些使用adb的递归拉取可能在数据传输过程中失败 ， 可能由于访问权限问题或者其他问题 。因此 ， 对于执行命令的结果要进行密切监控 ， 以确定是否遇到任何问题 。将对一个大目录的递归拉取分解为若干个小的数据拉取也许会产生更好的结果 。
在之前文章Andorid-APP 安全测试（二）中进程注入保护部分就需要用到adb push以及adb pull ， 但是并未提及太多 。
输入命令adb remount ,意思是将设备改为可读可写;
显示remount succeeded就代表命令执行成功；


文章插图



文章插图

这里做一个引申：
Android中adb push和adb install的使用区别
在Android实际开发中 ， 经常会使用adb命令 ， 安装应用程序可以使用adb push 或者adb install 。下面就来讲讲这两种安装方式的区别 。

• cet6作文万能句型 cet6作文万能模板
• 风水病位化解 风水怪病化解
• 完美芦荟胶十大功效 完美芦荟胶真的好用吗
• dream on下载 dreamhigh中字
• 调理 调节性T细胞
• 龙口含珠风水 风水珠的寓意
• 售电资质办理流程 办理售电公司注册流程
• 和柿子相克的食物 柿子和啥食物相克
• 罗非鱼的做法 罗非鱼怎么做好吃
• 汕头摄影机构排名 汕头摄影培训