0 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Twrp recovery как пользоваться

Содержание

Восстановление – это небольшая часть программного обеспечения, которая запускается в разделе восстановления на вашем устройстве.

Можно загрузиться в этот раздел, что позволит вам включить и получить доступ к файлам на вашем телефоне без загрузки ОС Android. Поскольку Android не загружен, системные файлы Android не помещаются в память, что означает, что к ним можно получить доступ, отредактировать и заменить.

Когда вы устанавливаете обновление системы на свое устройство, загрузка в восстановление является частью процесса. По этой причине на каждом устройстве установлено стандартное восстановление, но у него нет доступных пользователю функций.

Замена стандартного восстановления пользовательским восстановлением, таким как TWRP (Team Win Recovery Project), дает вам доступ к частям вашего устройства, которые ранее были недоступны. Вот так вы начинаете взламывать свой телефон.

Выбираем приложение для резервирования данных на android-устройствах: обзор Titanium Backup и подведение итогов

Оглавление

  • Вступление
  • Titanium Backup
    • Знакомство
    • Начало работы
    • Настройки
    • Тестирование
  • Выводы по Titanium Backup
  • Подведение итогов
    • СМ Backup
    • G Cloud Backup
    • Avast Mobile Backup
    • GO Backup
    • My Backup
    • Резервное копирование (Artur Jaszczyk)
    • Titanium Backup
  • Заочное сравнение

Вступление

Если что-либо случится с мобильным устройством, восстановить данные, которые были на нем, поможет резервная копия. Но с помощью каких утилит и как ее сделать? На этот вопрос мы пытались ответить на протяжении двух обзоров, теперь же готовы подвести окончательные итоги. Однако для начала уделим внимание еще одной программе – Titanium Backup.

реклама

Приведем список рассмотренных ранее приложений в алфавитном порядке:

Как можно видеть, выбор действительно велик, но на чем же остановиться? Давайте решать.

Titanium Backup

Знакомство

Если вы дорожите установленными играми и программами, а также их данными, то стопроцентно должны позаботиться о создании резервной копии. И на данный момент никто не работает с приложениями лучше, чем Titanium Backup. Это уникальный инструмент для мобильных устройств, рассмотрением которого мы сейчас и займемся.

Преимущества Titanium Backup Pro по сравнению с обычной версией:

  • Несколько резервных копий в приложении;
  • Резервное копирование / восстановление SMS, MMS, звонков, закладок, Wi-Fi AP;
  • Замораживание приложений;
  • Синхронизация в / из Dropbox (вручную / по расписанию);
  • Синхронизация в / из Box (вручную / по расписанию);
  • Синхронизация в / из Google Drive (вручную / по расписанию);
  • Веб TB-сервер;
  • Возможность интегрировать обновление приложения в систему;
  • Поддержка шифрования;
  • Скорость Hypershell;
  • Резервное копирование приложений, не закрывая их;
  • Создание собственного update.zip, содержащего приложения и данные;
  • Восстановление отдельных приложений и данных из резервных копий ADB, CWM и TWRP;
  • Очистка Dalvik кэша;
  • Интеграция элементов Dalvik кэша в систему;
  • Расписание;
  • Изменение Android ID устройства, его восстановление из резервной копии или после сброса к заводским;
  • Защита резервного копирования от удаления;
  • Отправка резервного копирования (по электронной почте / в облака) и импорт всего в один клик;
  • Остановка / замораживание / запуск приложений в один клик;
  • CSV экспорт любого приложения в электронную почту или Google Docs;
  • Преобразование данных приложения в быстром формате WAL.

Начало работы

реклама

Сразу после запуска Titanium Backup мы оказываемся на «обзорном» экране. Вкладка несет исключительно информационный характер. Она показывает, какие функции работают, а какие нет. Внизу отображается диаграмма с памятью: сколько ее осталось и какое количество занято.

Интересно, что если нажать на данные памяти, то нам откроется подробнейшая статистика по установленным приложениям.

Вторая вкладка – «Резервные копии» – является основной, именно она и приковывает интерес к приложению. В виде списка, построенного в алфавитном порядке, представлены все наши приложения. Отображается иконка, название и версия программы, наличие резервной копии и место установки.

Легко заметить, что названия у одних приложений белые, у других красные, а у третьих вообще желтые. Конкретно здесь цвет показывает «значимость» программы. Названия пользовательских приложений написаны белым цветом, системных – красным, а необходимых для работы ключевых функций устройства (а также Titanium Backup) – желтым. Вот так вот можно разобраться в приложениях.

Теперь попробуем создать резервную копию, для чего нажимаем на интересующее нас приложение. Если таких много, а прокручивать список мы не хотим, можно воспользоваться поиском и найти необходимое.

Затем открывается меню, где можно «Сохранить», «Заморозить», «Удалить», «Открыть» и «Удалить данные» выбранной программы. Нам нужен «бэкап». Нажимаем «Сохранить» и происходит процесс создания резервной копии.

После этого сделанная копия будет сохранена в памяти устройства по пути Storage/TitaniumBackup в виде трех файлов: приложения, данных приложения и ключевого файла.

Кстати, в данном меню есть и «Специальные функции», для этого нужно свайпнуть влево. Их очень много, начиная от завершения работы приложения, отправки резервной копии и до преобразования приложения из пользовательских в системное. Это невероятно полезно.

А уж насколько я благодарен за возможность интеграции обновления приложения в прошивку. Это операция позволяет безболезненно освободить память в пользовательской памяти. Что ж, функционально.

Но неужели необходимо проделывать такие операции с каждой программой? Нет, специально для этого в правом верхнем углу есть соответствующая клавиша – «Пакетные действия».

реклама

Теперь мы можем сделать резервные копии всех пользовательских приложений или всех пользовательских данных, а можно и все вместе. Можно удалить все пользовательские программы, заморозить системные, очистить кэш и все это буквально двумя нажатиями.

Если вы частенько перепрошиваете устройство или используете определенный пакет программ, то можете сделать файл «update.zip» на основе необходимых резервных копий. После его можно будет прошивать через меню Recovery в одно нажатие.

Переходим к последней вкладке – «Расписание». В ней можно создавать задачи, к примеру, сделать резервную копию пользовательских данных в такое-то время, в такой-то день.

Причем можно устанавливать более подробные значения, опять же для примера – делать резервные копии, когда гаджет подключен к ЗУ или же, наоборот, по завершении резервного копирования перезагрузить устройство, либо загрузить резервные копии в «облако». Задач можно создавать неограниченное количество и на любые функции.

реклама

Дополнительно можно открыть еще одно меню нажатием на функциональную клавишу мобильного устройства. Появится целый перечень функций и всевозможных параметров, самыми интересными из которых являются: очистка Dalvik-кэша, создание сервера TB по обмену резервными копиями.

Все действия Titanium Backup связаны с файловой системой и приложениями, создавать резервные копии входящих звонков, сообщений и прочих личных данных нельзя. Но есть одна хитрость, как можно зарезервировать книгу входящих, сообщения и закладки браузера. Для этого мы резервируем данные соответствующих приложений, только вот незадача – при переходе с одной версии Android OS на другую могут возникнуть конфликты в записях и данные будут не у дел.

Настройки

реклама

Параметров для настройки Titanium Backup очень много, поэтому мы рассмотрим лишь самые необычные и стоящие внимания.

Все «бэкапы» могут синхронизироваться в «облако» Dropbox, Box и Google Drive. Облачная синхронизация – уже хорошо, а когда еще есть выбор куда – просто прекрасно.

Резервные копии можно шифровать, используя самые высокотехнологичные ключи. Как указано в приложении, «люди с манией преследования» могут использовать 4096-битное RSA и 256-битное AES шифрование. Естественно, что есть и менее сложные методы.

реклама

Для экономии памяти устройства все резервные копии можно сжимать. Присутствует три степени сжатия данных. Если использовать максимальный алгоритм сжатия, то мы сможем сэкономить до 10-20% памяти, но придется подождать 5-7 секунд, хотя все зависит от конкретного приложения и мощности устройства. Еще следует учитывать тот факт, что без сжатия «бэкап» приложений делается в формате apk, то есть установить их можно будет без Titanium Backup.

Тестирование

Titanium Backup поддерживает работу с гаджетами на OC Android 1.6 и старше, поддерживаются все существующие архитектуры процессоров, включая x86.

реклама

К качеству приложения претензий нет никаких, работает оно достаточно быстро. На создание «бэкапа» из ста приложений (файл + данные, минимальная степень сжатия) разного объема ушло около 5 минут – вполне неплохой показатель.

Выводы по Titanium Backup

В первую очередь Titanium Backup это серьезный инструмент для работы с приложениями на android-устройствах, поскольку нужно уметь им пользоваться, чтобы не навредить. Программа запрашивает права суперпользователя (причем для всех видов операций), и это стоит учитывать, ведь не у всех они есть.

Но сама утилита в основном настроена на работу с приложениями и файловой системой, она может замораживать программы, делать резервные копии, восстанавливать приложения, интегрировать в систему и многое другое. С одной стороны, функций и возможностей масса, с другой – Titanium Backup не умеет резервировать ни контакты, ни сообщения, ни прочие личные данные (вернее умеет, но с некими хитростями, учитывать которые не стоит), поэтому придется запастись еще одним приложением.

Да, функциональности рассмотренной программы недостаточно, ведь самого элементарного она как раз и не умеет, но это отнюдь не стихия Titanium Backup. Если вы продвинутый пользователь и уже освоили CM Backup, My Backup и другие приложения, то можете обратить внимание и на продукт Titanium Track. Благо у него есть как бесплатная, так и платная версии. Естественно, функциональность последней шире. Но свою цену в $5 Titanium Backup полностью оправдывает, а обновления, улучшения и баг фиксы не заставят себя ждать.

Восстановить Android c резервной копии через TWRP рекавери

Если «что-то пошло не так» и ваш Android не загружается или плохо работает и у вас имеется созданная вами резервная копия, то она поможет восстановить работоспособность вашего девайса.

Восстановление из Бекапа

Перейдите в раздел «Restore» и выберите доступные резервные копии

Читать еще:  2 445 Бесплатные изображения Пламени

Отметьте какие разделы восстановить и потяните слайдер внизу, чтобы запустить процессПо окончанию вам будет предложено перезагрузиться в обычный режим работы Android — «Reboot System».

У вас еще остались вопросы? Пишите их в комментариях, рассказывайте, что у вас получилось или наоборот!

Вот и все! Больше полезных статей и инструкций читайте в разделе Статьи и Хаки Android. Оставайтесь вместе с сайтом Android +1, дальше будет еще интересней!

Итак, существует несколько способов извлечения данных из Андроид устройств. Все они делятся на три группы:

  • Извлечение на логическом уровне
  • Извлечение на уровне файловой системы
  • Извлечение на физическом уровне

Сейчас я подробно разберу каждый из способов. Но для начала дисклеймер!

Извлечение данных на логическом уровне

Самый легкий способ логического извлечения — пресловутое резервное копирование с помощью Android Debug Bridge. Делается это очень просто — достаточно включить в настройках Андроид-устройства отладку по ЮСБ, подключить его к компьютеру и ввести эту команду:

adb backup -f «F:forensic_backup.ab» -apk -shared -all

Первый ключ, -apk, говорит ADB сделать бекап APK-приложения; второй, -shared, включает в бэкап данные приложений и содержимое карты памяти, если последняя имеется; третий, -all, позволяет добавить в резервную копию все приложения, в том числе системные (это может пригодиться при расследовании инцидентов, связанных с заражением вредоносными программа).

Все это хорошо, но не идеально. Потому что современные устройства позволяют сохранять в такую резервную копию далеко не все. К примеру, в него не входит ни список контактов, ни СМС-сообщения, только маленькая часть из файла logs.db.

Чтобы решить эту проблему, разработчики криминалистического ПО, например Magnet Forensics и Oxygen Software, включают в свои инструменты так называемые приложения-агенты. Этот инструмент устанавливаются на Андроид устройство и позволяют извлечь все необходимые базы данных. Например, mmssms.db, который содержит сведения о отправленных и полученных СМС и ММС. Как вы уже поняли, зачастую форензик-софтом для логического извлечения используется все тот же ADB, а полученный бекап распаковывается и обогащается данными, извлеченными приложением-агентом. Кстати, если вы хотите сами распаковать такой бэкап, то благодаря бесплатному инструменту adbextractor вы сможете с легкостью это сделать:

java -jar abe.jar unpack backup.ab backup.tar

В результате получите tar-архив с содержимым вашего ADB-бэкапа.

Извлечение данных на уровне файловой системы

Так как в последнее время, особенно с выходом Android Nougat, смартфоны с шифрованием перестали быть редкостью, этот способ извлечения данных наиболее приемлем. Как вы наверняка знаете, просто так получить полный доступ к файловой системе пользовательского раздела нельзя, для этого нужны права суперпользователя. На этом подробно останавливаться я не буду. Уверен, в вашем арсенале найдется с десяток инструментов, позволяющих получить заветный root-доступ на Android-девайсе (а если нет, то могу порекомендовать Magisk).

Как вы понимаете, это не самый гуманный способ, особенно если говорить о мобильной криминалистике, ведь он оставляет массу следов в памяти устройства, например добавит приложение SuperSU, а в случае KingoRoot и еще парочку бесполезных приложений. Тем не менее временами приходится использовать и такие сомнительные методы: здесь главные — все тщательно документировать. Разумеется, не все root-методы одинаково вредны, иногда можно получить временный root-доступ, который вполне себе криминалистически правильный.

Есть и более приемлемый способ — так называемый Nandroid-бэкап. Здесь на помощь криминалисту приходят всевозможные кастомные рекавери-прошивки, например TWRP. Кстати, ребята из Oxygen Software сделали свои собственные, очищенные от всевозможного мусора и максимально приближенные к криминалистическим стандартам, о них мы поговорим позже, когда займемся извлечением данных на физическом уровне.

Вернемся к TWRP и Nandroid. Такой бэкап, в отличие от пресловутого ADB, позволяет сделать практически точную копию состояния вашего Android-девайса в определенный момент времени, а это значит, что абсолютно все данные приложений достанутся криминалистам. И да, сложный графический пароль ваши данные едва ли спасет. А вот заблокированный загрузчик очень даже может, так как в этом случае прошить кастомное рекавери едва ли получится. Такие смартфоны очень расстраивают криминалистов, уж поверьте мне.

Итак, что же нам понадобится для создания Nandroid-бэкапа? Рассмотрим на примере самых распространенных Android-девайсов — тех, что произведены группой компаний Samsung. Во-первых, нужен подходящий образ рекавeри, его можно найти на официальном сайте TWRP. Во-вторых, свеженькая (а иногда и не очень свеженькая) версия Odin — он-то и позволит залить прошивку в смартфон.

И самое главное — не забудьте вставить карту памяти, иначе придется сохранять бэкап прямо в память смартфона/планшета, а это приведет к уничтожению данных, находящихся в свободной области! Помнишь, мы тут мобильной криминалистикой занимаемся, а значит, чем меньше изменений мы вносим, тем лучше!

Ну что, вы готовы? Если да, то запускайте свежезагруженный Odin, переводите смартфон в Download Mode (чтобы это сделать, выключи его, а затем зажми кнопку увеличения громкости, Home и Power) и подключайте к компьютеру. Нажимаете на PDA и выбирайте предварительно загруженный файл с рекавери — а теперь Start!

Как только вы справитесь с этой непосильной задачей, можно перезагружать смартфон в свеженькое кастомное рекавери — для этого при перезагрузке нужно зажать кнопку уменьшения громкости и Home. Если вы все сделали правильно, то, скорее всего, увидите восемь довольно крупных кнопок, на одной из которых белым по серому будет написано Backup. Она-то нам и нужна. Теперь выберите подходящее имя, поставьте галочку на разделе Data (именно он содержит пользовательские данные), и можно начинать резервное копирование.

Извлечение данных Android. Создание Nandroid-бэкапа через TWRP

Вот так, все ваши данные в руках криминалистов!

Извлечение данных на физическом уровне

Ну что же, мы дошли до самого интересного. А самое интересное здесь то, что у криминалиста есть масса вариантов, обеспечивающих возможность получения побитовой копии энергонезависимой памяти твоего Android-девайса. Разумеется, проще всего получить физический дамп, если вы сами предварительно хорошенько расковыряли смартфон и раздобыли root-права.

Единственным препятствием для криминалиста здесь может быть шифрование раздела с пользовательскими данными, но, как вы уже знаете, его всегда (ну или почти всегда) можно побороть извлечением данных на более высоком уровне, например уровне файловой системы.

Сделать побитовую копию можно даже при помощи стандартной утилиты dd и netcat. Для этого на исследуемом устройстве должен быть терминал, если его нет, то придется самостоятельно установить (не забывайте все тщательно документировать, записывая предпринимаемые шаги, чтобы позже воспользоваться этим при написании заключения). Готовы? Поехали!

Откройте терминал на своем компьютере, перейдите в директорию, в которой вы планируете сохранить побитовую копию своего (или исследуемого) Android-девайса, и воспользуйся следующей командой:

adb.exe forward tcp:8888 tcp:8888

Теперь ADB может взаимодействовать с netcat через порт 8888. Возьмите смартфон (или планшет) и в терминале введи следующую команду:

dd if=/dev/block/mmcblk0p16 | busybox nc -l -p 8888

В моем случае раздел с пользовательскими данными шестнадцатый по счету, у вас, разумеется, все может быть по-другому. Чтобы понять, где прячется пользовательский раздел, можете воспользоваться командой mount. Теперь самое время начать преобразовывать извлекаемые данные в побитовую копию. В терминале на своем компьютере введите:

nc 127.0.0.1 8888 > userdata_image.dd

В результате после завершения процесса вы получите побитовую копию раздела с пользовательскими данными, содержимое которой можно будет исследовать даже какими-то из инструментов, описанных мной в статье о криминалистическом анализе iOS-устройств.

Давайте разберем еще один вариант создания физического образа Android-девайса — с помощью кастомного рекавeри. Помните, я говорил, что ребята из Oxygen Software сделали свои собственные, «чистые» рекавери для подобных целей? Так вот, одним из таких мы сейчас и воспользуемся. Нашим подопытным будет Samsung Galaxy S5 Duos под управлением Android 6.0.1.

Первое, что нам нужно сделать, — это перевести его в Download Mode. Думаю, вы знаете, как это сделать. Выбираем пункт «Подключить устройство», далее «Samsung Android дамп (модифицированный образ восстановления)», выбираем модель и версию, и самое сложное: удерживая кнопку увеличения громкости и Home, необходимо кликнуть по кнопке загрузки кастомного рекавери. Если вам хватило ловкости (мне вот с трудом), то все должно закончиться хорошо и телефон перезагрузится в режим восстановления. На телефоне должен появиться Oxygen Software, а на мониторе же покажется что-то вроде этого:

Как извлечь данные из Андроид. Устройство в режиме восстановления Oxygen

Как видите, теперь устройство имеет root-доступ, а это значит, что мы с легкостью сможем получить побитовую копию. Более того, «Мобильный криминалист: Детектив» поможет нам проанализировать извлеченные данные и даже восстановить удаленные, в том числе из уже известных вам баз SQLite.

Мобильная криминалистика. Опции извлечения данных

Вот такая вот магия!

Файловые системы Андроид-устройств

Итак, у нас есть пара физических образов (надеюсь, они нешифрованные). Самое время приступить к анализу имеющихся на них данных. Для начала давайте определимся, какие файловые системы вам могут встретиться. Их довольно много, хотя, конечно, самая распространенная сейчас ext4, которая используется в Android-девайсах начиная с Gingerbread (2.3). Если с ext4 все более или менее понятно, то с некоторыми другими — не совсем.

Так, вам может встретиться F2FS — файловая система с открытым исходным кодом, созданная Samsung. Ее, кстати, также облюбовали разработчики из Motorola. Если вдруг в ваши руки попадет устройство пре-Gingerbread, то, вполне возможно, вы столкнетесь с YAFFS2 — еще одной файловой системой с открытым исходным кодом. Так к чему я это все? Ах да! Чем больше вы любите Linux, тем проще вам справиться со всеми этими файловыми системами. Разумеется, коммерческие программные комплексы я в расчет не беру — эти без проблем разделаются с любой из них.

Восстановление удаленных данных

Перед тем как начать исследовать полученные данные, очень неплохой идеей будет восстановить, насколько это возможно, все удаленное. Здесь мы поговорим о внутренней памяти Android-девайса, так как с microSD-картой все более или менее понятно. Если же вы вдруг запутались в своем программном арсенале — для этой цели можете воспользоваться TestDisk.

Вы уже знаете, что такое карвинг (а если кто не знает — это метод восстановления данных, основанный на анализе не метаданных, а содержимого файлов). Разумеется, эта техника сработает и здесь.

Утилиты PhotoRec или Scalpel прекрасно справятся с этой задачей. Первый, между прочим, даже включен в качестве модуля в небезызвестный опенсорсный криминалистический инструмент Autopsy. Кстати, для исследования ext4 вы легко можете воспользоваться этим инструментом.

Читать еще:  Основные показатели того, что пора заменить аккумулятор на телефоне

Восстановить удаленные файлы, если мы говорим об ext4, также может помочь extundelete — этот инструмент прошерстит весь журнал раздела в поисках удаленных данных. Коммерческие инструменты, разумеется, тут вне конкуренции — все тот же «Мобильный криминалист» с легкостью восстановит все необходимое сразу после снятия физического образа.

Естественно, не вся удаленная информация кроется в удаленных файлах. Как и в iOS, в Android большинство приложений (особенно это касается мессенджеров и веб-браузеров, которые, в общем-то, служат чуть ли не главными источниками цифровых доказательств) хранит информацию в базах данных SQLite. В предыдущей статье вы уже познакомился с инструментами, позволяющими восстанавливать удаленные записи из таких баз, если же вам хочется поковыряться в них самому, я настоятельно рекомендую просмотрщик баз данных SQLite, являющийся частью «Мобильного криминалиста» Oxygen Software.

Просмотрщик баз данных SQLite «Мобильного криминалиста»

Как по мне, на сегодняшний день это лучший просмотрщик с возможностью восстановления удаленных записей, а визуальный конструктор запросов — это вообще отдельный разговор.

Анализ Android-приложений

Я долго думал, какое же приложение взять в качестве примера, в итоге решил остановиться на ну очень популярном мессенджере — WhatsApp. Он поразительно часто встречается как на iOS-девайсах, так и на Android.

Разумеется, коммерческие инструменты вроде «Мобильного криминалиста» сделают грязную работу за тебя и продемонстрируют всю переписку, включая удаленные сообщения, по результатам анализа извлеченных данных. Но мы пойдем другим путем и проанализируем данные этого приложения вручную.

Для начала вам нужно найти следующий каталог:

Первое, что должно броситься в глаза, — это два файла с именем me. Первый имеет расширение jpg и хранит юзерпик, второй без расширения — в нем вы найдете номер, с которым ассоциируется WhatsApp-аккаунт. Если вы перейдете в /files/Avatars, то найдете миниатюры юзерпиков всех контактов пользователя.

Ну вот мы и добрались до самого лакомого кусочка — msgstore.db. Как вы, наверное, догадались, это база данных в формате SQLite, которая содержит информацию о переданных и полученных сообщениях. Думаю, вы уже знаете, что с ней делать. Найти ее можно здесь:

Что касается изображений, видео и голосовых сообщений — все это богатство вы сможете найти на microSD-карте:

Выводы

Теперь вы понимаете, что извлечь данные из Андроид даже очень легко. Разумеется, здесь тоже есть свои подводные камни, шифрование например. Заблокированный загрузчик также может спасти ваши данные далеко не всегда — JTAG и Chip-off еще никто не отменял, хотя здесь шансы успешного извлечения несколько уменьшаются. А вкупе с пасскодом и шифрованием (если у вас Android 7.0, то, скорее всего, оно активировано по умолчанию; если вы обновились до нее с предыдущей версии, то стоит это проверить) эта особенность сделает ваш смартфон или планшет настоящей Крепостью Одиночества.

Восстановление файлов программа выполняет с помощью специальной задачи восстановления, или же при запуске режима восстановления для задачи резервного копирования через контекстное меню. В последнем случае вам достаточно проделать следующие операции:

  • Щёлкните правой клавишей мыши на названии задачи резервного копирования данных на главной панели.

  • Выберите пункт «Восстановление» и задача автоматически выполнит восстановление файлов на прежнее место.

Восстановление данных с помощью специализированной задачи

Для создания задачи автоматического восстановления (включая такие операции, как, например, восстановление файлов SQL для зеркалирования базы данных) воспользуйтесь, пожалуйста, следующей краткой инструкцией.

  1. Откройте Handy Backup и создайте новую задачу кнопкой на панели или через меню.
  2. Выберите задачу восстановления на Шаге 1. Нажмите «Далее».
  3. На Шаге 2 откройте хранилище, где лежит резервная копия ваших данных. Выберите файл backup.hbi.

  1. На Шаге 3 нажмите «Далее», если вы восстанавливаете данные в прежнее место.
    • Чтобы изменить место восстановления данных, нажмите «Изменить место«.
    • В открывшемся диалоге выберите новое место для ваших данных * .

  1. На следующем шаге вам будет предложено выбрать дополнительные параметры для восстановления данных.

  1. Если вы восстанавливаете файлы и папки из зашифрованного архива, введите пароль.
  2. На Шаге 6 можно настроить расписание работы задачи для автоматического восстановления из бэкапа.

Внимание! Будьте осторожнее с операцией автоматического возвращения данных на прежнее место по расписанию — это может привести к потере важных файлов и папок! Пользуйтесь функцией расписания только тогда, когда программа выполняет восстановление файлов в другое место!

  1. Вы можете также выбрать программы, которые будут запущены до или после вашей задачи восстановления.
  2. На последнем шаге дайте вашей задаче имя. Теперь задача полностью готова к работе!

* Источники данных MS Exchange и Hyper-V на данный момент не поддерживают выбор места восстановления и позволяют только выполнять восстановление данных на их исходное место.

Восстановление данных образа диска

Если вы создали образ диска в программе Handy Backup, вы можете восстановить его прямо из программы с помощью задачи восстановления – если только это не текущий системный диск. В этом случае, а также для восстановления образа диска на «голое железо», применяется специальная утилита Disaster Recovery.

Что такое кастомное восстановление?

Пользовательское восстановление — это не хранилище, которое можно установить в среде восстановления по умолчанию. Есть несколько причин, по которым вы хотите установить собственное рекавери; большинство из них связаны с дополнительными функциями.

Большинство основных функций включают в себя:

  • Возможность установки сторонних ПЗУ на стандартный образ Android
  • Создание резервных копий Nandroid, которые представляют собой полные резервные копии, сохраняющие что-либо из ваших личных данных в самой операционной системе.
  • Связь с Android Debug Bridge (ADB) на компьютере для отладки и других действий разработчика. Это также позволяет вам устанавливать приложения ADB без рута .
  • Более полезный и / или визуально приятный интерфейс для восстановления. Это может включать в себя сенсорные функции или интерфейс, не ориентируясь на опции меню

Короче говоря, пользовательские восстановления предоставляют доступ ко многим действиям, к которым производитель обычно не может предоставить доступ. Они делают ограниченное восстановление инвентаря, чтобы вы не превратили свое устройство в кирпич. Если вам все это кажется слишком сложным, есть много настроек Android, которые вы можете сделать без рута .

Создание backup с помощью встроенных возможностей Android

Все гаджеты, работающие под управлением ОС Андроид, имеют возможность подключиться к Гугл и абсолютно бесплатно пользоваться многими преимуществами этого сервиса (синхронизироваться с ПК, записывать личные данные на облачный диск и т.п.). Одним из весьма полезных инструментов Google является android backup service. Он позволяет создавать бэкапы Android и делать резервирование данных с телефона на виртуальное хранилище в автоматическом режиме.

Перед тем как сделать бэкап Андроид через android backup service, необходимо завести свой аккаунт в Google и закрепить за ним ваше мобильное устройство. Это выполняется следующим образом:

  1. В настройках девайса переходим в раздел «Аккаунты».
  2. Смотрим, имеется ли подключение к Google. Если его нет, кликаем «Добавить аккаунт».
  3. Выбираем сервис Гугл и привязываемся к своей почте Gmail.

После того как Google подключен, делаем бэкап системы:

  1. Заходим в свойства только что появившегося аккаунта и отмечаем приложения, резервирование которых мы будем производить.
  2. Тапаем по виртуальной кнопке, открывающей список дополнительных действий, и запускаем синхронизацию.
  3. Чтобы Аndroid backup service делал точки восстановления в автоматическом режиме через определенные промежутки времени, выделяем пункт, отмеченный на рисунке.

Для возврата данных на Андроид через Аndroid backup service (например, после жесткой перезагрузки) достаточно повторно привязаться к аккаунту Google, войти в раздел «Восстановление и сброс» и запустить процедуру реанимирования.

Итак, существует несколько способов извлечения данных из Андроид устройств. Все они делятся на три группы:

  • Извлечение на логическом уровне
  • Извлечение на уровне файловой системы
  • Извлечение на физическом уровне

Сейчас я подробно разберу каждый из способов. Но для начала дисклеймер!

Извлечение данных на логическом уровне

Самый легкий способ логического извлечения — пресловутое резервное копирование с помощью Android Debug Bridge. Делается это очень просто — достаточно включить в настройках Андроид-устройства отладку по ЮСБ, подключить его к компьютеру и ввести эту команду:

adb backup -f «F:forensic_backup.ab» -apk -shared -all

Первый ключ, -apk, говорит ADB сделать бекап APK-приложения; второй, -shared, включает в бэкап данные приложений и содержимое карты памяти, если последняя имеется; третий, -all, позволяет добавить в резервную копию все приложения, в том числе системные (это может пригодиться при расследовании инцидентов, связанных с заражением вредоносными программа).

Все это хорошо, но не идеально. Потому что современные устройства позволяют сохранять в такую резервную копию далеко не все. К примеру, в него не входит ни список контактов, ни СМС-сообщения, только маленькая часть из файла logs.db.

Чтобы решить эту проблему, разработчики криминалистического ПО, например Magnet Forensics и Oxygen Software, включают в свои инструменты так называемые приложения-агенты. Этот инструмент устанавливаются на Андроид устройство и позволяют извлечь все необходимые базы данных. Например, mmssms.db, который содержит сведения о отправленных и полученных СМС и ММС. Как вы уже поняли, зачастую форензик-софтом для логического извлечения используется все тот же ADB, а полученный бекап распаковывается и обогащается данными, извлеченными приложением-агентом. Кстати, если вы хотите сами распаковать такой бэкап, то благодаря бесплатному инструменту adbextractor вы сможете с легкостью это сделать:

java -jar abe.jar unpack backup.ab backup.tar

В результате получите tar-архив с содержимым вашего ADB-бэкапа.

Извлечение данных на уровне файловой системы

Так как в последнее время, особенно с выходом Android Nougat, смартфоны с шифрованием перестали быть редкостью, этот способ извлечения данных наиболее приемлем. Как вы наверняка знаете, просто так получить полный доступ к файловой системе пользовательского раздела нельзя, для этого нужны права суперпользователя. На этом подробно останавливаться я не буду. Уверен, в вашем арсенале найдется с десяток инструментов, позволяющих получить заветный root-доступ на Android-девайсе (а если нет, то могу порекомендовать Magisk).

Как вы понимаете, это не самый гуманный способ, особенно если говорить о мобильной криминалистике, ведь он оставляет массу следов в памяти устройства, например добавит приложение SuperSU, а в случае KingoRoot и еще парочку бесполезных приложений. Тем не менее временами приходится использовать и такие сомнительные методы: здесь главные — все тщательно документировать. Разумеется, не все root-методы одинаково вредны, иногда можно получить временный root-доступ, который вполне себе криминалистически правильный.

Есть и более приемлемый способ — так называемый Nandroid-бэкап. Здесь на помощь криминалисту приходят всевозможные кастомные рекавери-прошивки, например TWRP. Кстати, ребята из Oxygen Software сделали свои собственные, очищенные от всевозможного мусора и максимально приближенные к криминалистическим стандартам, о них мы поговорим позже, когда займемся извлечением данных на физическом уровне.

Читать еще:  Топ-10 лучшие телефоны Huawei 2018 года

Вернемся к TWRP и Nandroid. Такой бэкап, в отличие от пресловутого ADB, позволяет сделать практически точную копию состояния вашего Android-девайса в определенный момент времени, а это значит, что абсолютно все данные приложений достанутся криминалистам. И да, сложный графический пароль ваши данные едва ли спасет. А вот заблокированный загрузчик очень даже может, так как в этом случае прошить кастомное рекавери едва ли получится. Такие смартфоны очень расстраивают криминалистов, уж поверьте мне.

Итак, что же нам понадобится для создания Nandroid-бэкапа? Рассмотрим на примере самых распространенных Android-девайсов — тех, что произведены группой компаний Samsung. Во-первых, нужен подходящий образ рекавeри, его можно найти на официальном сайте TWRP. Во-вторых, свеженькая (а иногда и не очень свеженькая) версия Odin — он-то и позволит залить прошивку в смартфон.

И самое главное — не забудьте вставить карту памяти, иначе придется сохранять бэкап прямо в память смартфона/планшета, а это приведет к уничтожению данных, находящихся в свободной области! Помнишь, мы тут мобильной криминалистикой занимаемся, а значит, чем меньше изменений мы вносим, тем лучше!

Ну что, вы готовы? Если да, то запускайте свежезагруженный Odin, переводите смартфон в Download Mode (чтобы это сделать, выключи его, а затем зажми кнопку увеличения громкости, Home и Power) и подключайте к компьютеру. Нажимаете на PDA и выбирайте предварительно загруженный файл с рекавери — а теперь Start!

Как только вы справитесь с этой непосильной задачей, можно перезагружать смартфон в свеженькое кастомное рекавери — для этого при перезагрузке нужно зажать кнопку уменьшения громкости и Home. Если вы все сделали правильно, то, скорее всего, увидите восемь довольно крупных кнопок, на одной из которых белым по серому будет написано Backup. Она-то нам и нужна. Теперь выберите подходящее имя, поставьте галочку на разделе Data (именно он содержит пользовательские данные), и можно начинать резервное копирование.

Извлечение данных Android. Создание Nandroid-бэкапа через TWRP

Вот так, все ваши данные в руках криминалистов!

Извлечение данных на физическом уровне

Ну что же, мы дошли до самого интересного. А самое интересное здесь то, что у криминалиста есть масса вариантов, обеспечивающих возможность получения побитовой копии энергонезависимой памяти твоего Android-девайса. Разумеется, проще всего получить физический дамп, если вы сами предварительно хорошенько расковыряли смартфон и раздобыли root-права.

Единственным препятствием для криминалиста здесь может быть шифрование раздела с пользовательскими данными, но, как вы уже знаете, его всегда (ну или почти всегда) можно побороть извлечением данных на более высоком уровне, например уровне файловой системы.

Сделать побитовую копию можно даже при помощи стандартной утилиты dd и netcat. Для этого на исследуемом устройстве должен быть терминал, если его нет, то придется самостоятельно установить (не забывайте все тщательно документировать, записывая предпринимаемые шаги, чтобы позже воспользоваться этим при написании заключения). Готовы? Поехали!

Откройте терминал на своем компьютере, перейдите в директорию, в которой вы планируете сохранить побитовую копию своего (или исследуемого) Android-девайса, и воспользуйся следующей командой:

adb.exe forward tcp:8888 tcp:8888

Теперь ADB может взаимодействовать с netcat через порт 8888. Возьмите смартфон (или планшет) и в терминале введи следующую команду:

dd if=/dev/block/mmcblk0p16 | busybox nc -l -p 8888

В моем случае раздел с пользовательскими данными шестнадцатый по счету, у вас, разумеется, все может быть по-другому. Чтобы понять, где прячется пользовательский раздел, можете воспользоваться командой mount. Теперь самое время начать преобразовывать извлекаемые данные в побитовую копию. В терминале на своем компьютере введите:

nc 127.0.0.1 8888 > userdata_image.dd

В результате после завершения процесса вы получите побитовую копию раздела с пользовательскими данными, содержимое которой можно будет исследовать даже какими-то из инструментов, описанных мной в статье о криминалистическом анализе iOS-устройств.

Давайте разберем еще один вариант создания физического образа Android-девайса — с помощью кастомного рекавeри. Помните, я говорил, что ребята из Oxygen Software сделали свои собственные, «чистые» рекавери для подобных целей? Так вот, одним из таких мы сейчас и воспользуемся. Нашим подопытным будет Samsung Galaxy S5 Duos под управлением Android 6.0.1.

Первое, что нам нужно сделать, — это перевести его в Download Mode. Думаю, вы знаете, как это сделать. Выбираем пункт «Подключить устройство», далее «Samsung Android дамп (модифицированный образ восстановления)», выбираем модель и версию, и самое сложное: удерживая кнопку увеличения громкости и Home, необходимо кликнуть по кнопке загрузки кастомного рекавери. Если вам хватило ловкости (мне вот с трудом), то все должно закончиться хорошо и телефон перезагрузится в режим восстановления. На телефоне должен появиться Oxygen Software, а на мониторе же покажется что-то вроде этого:

Как извлечь данные из Андроид. Устройство в режиме восстановления Oxygen

Как видите, теперь устройство имеет root-доступ, а это значит, что мы с легкостью сможем получить побитовую копию. Более того, «Мобильный криминалист: Детектив» поможет нам проанализировать извлеченные данные и даже восстановить удаленные, в том числе из уже известных вам баз SQLite.

Мобильная криминалистика. Опции извлечения данных

Вот такая вот магия!

Файловые системы Андроид-устройств

Итак, у нас есть пара физических образов (надеюсь, они нешифрованные). Самое время приступить к анализу имеющихся на них данных. Для начала давайте определимся, какие файловые системы вам могут встретиться. Их довольно много, хотя, конечно, самая распространенная сейчас ext4, которая используется в Android-девайсах начиная с Gingerbread (2.3). Если с ext4 все более или менее понятно, то с некоторыми другими — не совсем.

Так, вам может встретиться F2FS — файловая система с открытым исходным кодом, созданная Samsung. Ее, кстати, также облюбовали разработчики из Motorola. Если вдруг в ваши руки попадет устройство пре-Gingerbread, то, вполне возможно, вы столкнетесь с YAFFS2 — еще одной файловой системой с открытым исходным кодом. Так к чему я это все? Ах да! Чем больше вы любите Linux, тем проще вам справиться со всеми этими файловыми системами. Разумеется, коммерческие программные комплексы я в расчет не беру — эти без проблем разделаются с любой из них.

Восстановление удаленных данных

Перед тем как начать исследовать полученные данные, очень неплохой идеей будет восстановить, насколько это возможно, все удаленное. Здесь мы поговорим о внутренней памяти Android-девайса, так как с microSD-картой все более или менее понятно. Если же вы вдруг запутались в своем программном арсенале — для этой цели можете воспользоваться TestDisk.

Вы уже знаете, что такое карвинг (а если кто не знает — это метод восстановления данных, основанный на анализе не метаданных, а содержимого файлов). Разумеется, эта техника сработает и здесь.

Утилиты PhotoRec или Scalpel прекрасно справятся с этой задачей. Первый, между прочим, даже включен в качестве модуля в небезызвестный опенсорсный криминалистический инструмент Autopsy. Кстати, для исследования ext4 вы легко можете воспользоваться этим инструментом.

Восстановить удаленные файлы, если мы говорим об ext4, также может помочь extundelete — этот инструмент прошерстит весь журнал раздела в поисках удаленных данных. Коммерческие инструменты, разумеется, тут вне конкуренции — все тот же «Мобильный криминалист» с легкостью восстановит все необходимое сразу после снятия физического образа.

Естественно, не вся удаленная информация кроется в удаленных файлах. Как и в iOS, в Android большинство приложений (особенно это касается мессенджеров и веб-браузеров, которые, в общем-то, служат чуть ли не главными источниками цифровых доказательств) хранит информацию в базах данных SQLite. В предыдущей статье вы уже познакомился с инструментами, позволяющими восстанавливать удаленные записи из таких баз, если же вам хочется поковыряться в них самому, я настоятельно рекомендую просмотрщик баз данных SQLite, являющийся частью «Мобильного криминалиста» Oxygen Software.

Просмотрщик баз данных SQLite «Мобильного криминалиста»

Как по мне, на сегодняшний день это лучший просмотрщик с возможностью восстановления удаленных записей, а визуальный конструктор запросов — это вообще отдельный разговор.

Анализ Android-приложений

Я долго думал, какое же приложение взять в качестве примера, в итоге решил остановиться на ну очень популярном мессенджере — WhatsApp. Он поразительно часто встречается как на iOS-девайсах, так и на Android.

Разумеется, коммерческие инструменты вроде «Мобильного криминалиста» сделают грязную работу за тебя и продемонстрируют всю переписку, включая удаленные сообщения, по результатам анализа извлеченных данных. Но мы пойдем другим путем и проанализируем данные этого приложения вручную.

Для начала вам нужно найти следующий каталог:

Первое, что должно броситься в глаза, — это два файла с именем me. Первый имеет расширение jpg и хранит юзерпик, второй без расширения — в нем вы найдете номер, с которым ассоциируется WhatsApp-аккаунт. Если вы перейдете в /files/Avatars, то найдете миниатюры юзерпиков всех контактов пользователя.

Ну вот мы и добрались до самого лакомого кусочка — msgstore.db. Как вы, наверное, догадались, это база данных в формате SQLite, которая содержит информацию о переданных и полученных сообщениях. Думаю, вы уже знаете, что с ней делать. Найти ее можно здесь:

Что касается изображений, видео и голосовых сообщений — все это богатство вы сможете найти на microSD-карте:

Выводы

Теперь вы понимаете, что извлечь данные из Андроид даже очень легко. Разумеется, здесь тоже есть свои подводные камни, шифрование например. Заблокированный загрузчик также может спасти ваши данные далеко не всегда — JTAG и Chip-off еще никто не отменял, хотя здесь шансы успешного извлечения несколько уменьшаются. А вкупе с пасскодом и шифрованием (если у вас Android 7.0, то, скорее всего, оно активировано по умолчанию; если вы обновились до нее с предыдущей версии, то стоит это проверить) эта особенность сделает ваш смартфон или планшет настоящей Крепостью Одиночества.

Заворачивать

TWRP – это мощный инструмент, который дает вам полный контроль над внутренностями вашего телефона без необходимости загрузки в Android.

Его можно использовать для прошивки пользовательских ПЗУ или незначительных модов приложений, а также для создания резервных копий и управления ими. Понимание того, как работает TWRP и что вы можете с ним сделать, сделает вас более уверенным в попытках взлома Android различных типов. Также стоит обновлять программное обеспечение по мере появления новых функций, и на регулярной основе добавляется дополнительный уровень удобства для пользователя.

Ссылка на основную публикацию
Статьи c упоминанием слов:

Adblock
detector