安全路透社
当前位置:安全路透社 > 网络转载 > 正文

如何使用Netcat将Android文件系统镜像直接转移到本地系统

222.png

首先,你需要了解以下关于Netcat的一些事情…

无论是安全管理员还是恶意攻击者,他们都需要想办法利用类似TCP或UDP协议来读取或向一个网络连接中写入内容,虽然他们获取这些数据的目的可能会不一样。

Netcat提供了一种非常高效的网络分析方法(从后端到服务器),并且能够使用刚才所提到的协议在目标网络中建立新的连接。除此之外,它不仅能够单独运行,而且还可以通过脚本或其他程序来执行。

Netcat的部分功能如下:

1.      建立或读取通过任意端口的网络连接(TCP或UDP)。

2.      通过其他程序建立连接。

3.      以随机的方式扫描端口并尝试利用开放端口。

4.      利用本地源端口。

5.      用户可定义网络信道模式,并指定使用的或监听的端口、源和远程主机。

6.      检查DNS转发查询。

7.      可配置Telnet。

8.      可通过命令行参数识别标准输入。

9.      提供了Slow-send模式,可指定每秒钟发送的数据行。

10.   发送和接收到的数据以十六进制格式显示(Hex dump功能)。

Adb

在Android分析领域中,有一些工具是我们需要清楚掌握的。其中,最重要的就是安卓调试桥(adb)。

Android SDK已经预装了adb(路径:“platform-tools”目录),因此我们在使用Santoku(一种专用于Android分析的Linux集成环境)时,我们就无需再单独安装adb了,因为平台已经将其安装在“/usr/bin”中了。

如何使用Netcat直接将Android文件系统转移到本地设备中?

目前有很多种方法来获取Android文件系统镜像,但效率最高的一种方法就是将镜像文件直接发送到本地设备中。除此之外,你也可以将提取到的分区镜像提取到SD卡中。下面给出的方法主要是基于Netcat安全工具实现的。操作步骤如下:

1.      登录到设备中(插入真实设备或开启Android模拟器)。

2.      Santoku操作系统的默认配置下,Netcat工具所在目录为“~/Desktop/files/binaries”。

3.      如果使用的是真实设备,首先需要确保“/system/bin”目录中已存在Netcat代码,否则系统将会从网上自动下载Netcat。

Cd Desktop/files/binaries/
Ls nc
The following will appear:
nc

4.      在开始之前,我们需要知道使用netcat的优势在哪里。目前绝大多数的工具在提取镜像文件之前,都需要设备先挂载SD卡。但是Netcat可以直接帮助我们将提取到的镜像文件拷贝到本地设备中。

5.      在这一步,Netcat代码必须加载到设备上的“/data/local/tmp”目录中,下面给出的代码可以完成这一步操作:

Adb push nc /data/local/tmp

6.      为了确保代码已在设备目录中加载,我们可以开启一个shell。除此之外,Netcat代码必须拥有可执行权限:

Adb shell
Cd data/local/tmp
Ls –l nc
The following will appear:
-rwxrwxrwx root    root     1120360 2017-07-29 07:41 nc

7.      使用命令“mount”来确定目标分区的位置:

Mount

8.      了解到分区信息之后,我们可以得到系统分区的入口点:

/dev/block/mtdblock0

9.      数据分区的入口点:

/dev/block/mtdblock1

10.   使用下列命令将本地端口8888转发到远程端口8888。该操作的意义在于,当本地设备的端口8888建立了连接时,Android设备的端口8888将会收到从本地设备端口重定向过来的相同连接。

Adb forward tcp:8888 tcp:8888

11.   使用下列命令提取数据分区,该命令基于“dd”工具和Netcat实现:

Dd if=/dev/block/mtdblock0 | /data/local/tmp/nc –l –p 8888

12.   运行之后,文件数据会通过端口8888进行发送。

13.   接下来,“dd”命令的输出需要读取并存储为“image.img”:

Nc 127.0.0.1 8888 > sdcard.img

14.   整个过程可能需要一点时间,而且在读取和存储的过程中,操作界面可能会停留在如下所示的情况:

Dd if=/dev/block/mtdblock0 |/data/local/tmp/nc –l –p 8888
Nc 127.0.0.1 8888 > image.img

15.   当所有操作全部完成之后,输出结果将如下所示:

1951744+0 records in
1951744+0 records out
999292928 bytes transferred in 1849.559secs (527454 bytes/sec)

注意:创建的镜像文件名为“image.img”,该文件将存储在本地设备中的当前工作目录中。

参考资料

1.      http://resources.infosecinstitute.com/android-forensics-labs/

2.      http://resources.infosecinstitute.com/getting-started-android-forensics/

* 参考来源:infosecaddicts,FB小编Alpha_h4ck编译

未经允许不得转载:安全路透社 » 如何使用Netcat将Android文件系统镜像直接转移到本地系统

赞 (0)
分享到:更多 ()

评论 0

评论前必须登录!

登陆 注册