В сегодняшней статье я расскажу об интересном инструменте — Andriller, о котором должен знать каждый специалист форензики и безопасник. Далее я покажу, как установить Andriller на Kali Linux и вытащить конфиденциальную информацию из смартфона Android.
Еще по теме: Задание по форензике DetectLog4j CyberDefenders
Andriller — это инструмент, который используют правоохранительных органы для извлечения данных из Андроид устройств, не затрагивая информацию (в режиме для чтения). Тулза имеет множество функций, однако все они ориентированы на получении содержимого устройства.
Установка и использование Andriller на Kali Linux
Для установки Andriller на Kali Linux нужно клонировать репозиторий из GitHub:
1 |
git clone https://github.com/den4uk/andriller.git |
После завершения установки, переходим в директорию Андриллер с помощью команды cd:
1 |
cd andriller |
В каталоге несколько файлов, но для установки и использования Andriller нам нужны два:
- setup.py
- andriller-gui.py
Установим разрешения для файлов:
1 |
sudo chmod +x setup.py andriller-gui.py |
Теперь можно запустить установку и установить Андриллер. Для этого запускаем следующую команду:
1 |
sudo python3 setup.py install |
Приведенная выше команда установит все зависимости для запуска инструмента.
Я также рекомендую выполнить команду для установки adb и python-tk.
1 |
sudo apt-get install android-tools-adb python3-tk |
После установки зависимостей можно запускать тулзу:
1 |
python3 andriller-gui.py |
После запуска появится окно графического пользовательского интерфейса Andriller GUI:
Здесь необходимо установить Output Location (Путь сохранения информации). В моем случае был выбран рабочий стол.
Теперь с помощью USB подключим устройство Android к нашей системе Kali Linux. Нужно использовать кабель для передачи данных и включить режим отладки по USB на Android.
Для проверки подключения и правильной работы кабеля передачи данных, нажимаем Check (Проверить).
Наконец с помощью кнопку Extract (Извлечь), извлекаем данные из Android. После нажатия, Android-устройство запросит резервное копирование данных. Нажимаем Back up my data (Создать резервную копию моих данных).
Если выбрать Extract shared storage (Общее хранилище), тогда Andriller сделает резервную копию всего хранилища, что займет много времени, в противном случае он создаст резервную копию исключительно системных файлов.
После завершения процесса отчеты будут сохранены в указанном месте в виде html-файла, и браузер автоматически откроет отчет.
Здесь мы можем увидеть всю информацию об Android-устройства (учетные записи Google, журналы вызовов, историю браузера, пароли WiFi, SMS и многое другое).
Если анализируете устройство с root-правами, тогда информации будет больше.
Вот скрин полученных паролей WiFi:
Вот так с помощью Андриллер мы можем вытащить информацию из Андроид на Кали. Как видите с помощью Andriller можно извлечь много интересной информации из Android-устройства
РЕКОМЕНДУЕМ: