我必须为数字取证课程演示Android取证。我需要“可疑手机”的磁盘映像。我已经进入Android Studio,并在新的AVD中放入了一些联系人和短信。如何获取此虚拟设备的图像(.dd或.img)或Android备份(.ab)?
在演示中,我将使用开源取证工具包“尸检”:Autopsy for Android forensics
我的虚拟设备运行的是带有Nexus 4皮肤的Android 5.1。
答案 0 :(得分:0)
根据https://android.stackexchange.com/a/78183/239063,您可以在Linux中运行一行命令来添加适当的tar标头以将其提取。
( printf "\x1f\x8b\x08\x00\x00\x00\x00\x00" ; tail -c +25 yourBackUpFile.ab ) | tar xfvz -