Android-Dateisysteme und forensische Speicherorte

Übersicht und Relevanz für die digitale Forensik

Das Institut für Computerforensik untersucht in diesem vierten Teil die Struktur des Android-Dateisystems und dessen Bedeutung für die digitale Spurensicherung. Das Android-Betriebssystem basiert auf einer modifizierten Linux-Architektur, die in Partitionen unterteilt ist. Jede Partition erfüllt spezifische Aufgaben und kann je nach Art und Umfang der gespeicherten Daten relevante forensische Artefakte enthalten.

Forensisch relevante Partitionen und Beispielartefakte

  • boot

Enthält Kernel und RAM-Disk. Für das Startverhalten des Geräts essenziell. Kann manipuliert werden, um Root-Zugriff zu erlangen oder um Beweise zu verstecken.

  • recovery

Dient der Wiederherstellung und Update-Verwaltung. Führt temporäre OS-Images aus.

  • system

Speichert vorinstallierte Apps, Bibliotheken und Systemkonfigurationen wie z. B. build.prop. Diese Datei kann Hinweise auf das Gerätemodell, die Android-Version und spezifische Herstelleranpassungen geben.

  • userdata (/data)

Kernbereich für die Beweissicherung. Beinhaltet Anwendungsdaten, SMS, Chatverläufe, Anruflisten, Kontakte, GPS-Daten und vieles mehr. Auch SQLite-Datenbanken befinden sich hier.

  • cache

Speichert temporäre Daten. Kann Log-Dateien und Updatepakete enthalten.

  • misc

Beinhaltet diverse Systemeinstellungen, u. a. USB-Konfigurationen.

  • sdcard

Interner oder externer Speicher mit Zugriff durch viele Apps. Beinhaltet Fotos, Videos, Downloads und Verzeichnisse wie DCIM, Android, WhatsApp u. a.

Weitere wichtige Verzeichnisse und Dateien

  • /data/data/

Hier speichert jede App ihre eigenen Daten in einem separaten Unterverzeichnis. Wichtige Artefakte: Shared Preferences (XML-Dateien), interne und externe Speicherpfade, SQLite-Datenbanken.

  • /proc/

Virtuelles Dateisystem mit Informationen zum Systemstatus und laufenden Prozessen. Für volatile Beweissicherung wertvoll.

  • /dev/

Stellt Gerätedateien zur Verfügung. Kann zur Analyse der Hardwarekonfiguration herangezogen werden.

  • dalvik-cache

Optimierte Bytecode-Dateien von Apps. Enthält nützliche Artefakte zum App-Verhalten und Laufzeitinformationen.

  • mnt/

Mount-Punkte für interne und externe Dateisysteme, z. B. sichere SD-Karten.

Dateisysteme in Android

Android verwendet mehrere Dateisystemtypen, die unterschiedliche Eigenschaften hinsichtlich Sicherheit, Geschwindigkeit und Formatierung besitzen.

Flash-Speicher-Dateisysteme

JFFS2, YAFFS2, F2FS. Besonders für den internen Speicher wichtig.

Medienbasierte Dateisysteme

EXT4 ist das Standard-Dateisystem für viele Partitionen. FAT32 wird meist für SD-Karten verwendet.

Pseudodateisysteme

procfs, sysfs u. a. bieten Zugriff auf Kernel- und Laufzeitinformationen.

Das Mounten eines Dateisystems bedeutet, es in die bestehende Hierarchie einzuhängen. Android verwendet Mount-Punkte, um Partitionen oder externe Speicher logisch zugänglich zu machen.

Speicherorte von App-Daten

  • Shared Preferences: XML-Dateien für Einstellungen, meist in /data/data/[AppName]/shared_prefs
  • Internal Storage: Anwendungsspezifisch, schreibgeschützt für andere Apps
  • External Storage: Zugriff über z. B. /sdcard/Android/data/
  • SQLite-Datenbanken: Lokale App-Datenbanken z. B. für Chat-Verläufe, Kontakte, Standortdate

Die genaue Kenntnis des Android-Dateisystems, seiner Partitionen und Speicherorte ist ein zentraler Bestandteil jeder forensischen Analyse. Die im Gerät gespeicherten Benutzerinformationen verteilen sich über verschiedene logische Einheiten und Verzeichnisse. Für eine lückenlose Beweissicherung müssen alle relevanten Speicherorte identifiziert, analysiert und gesichert werden.

Quellenangaben:

Offizielle Android-Dokumentation zum PartitionsschemaDetailliert die Kernpartitionen wie boot, system, userdata, cache usw. und deren Bedeutung im Android-Betriebssystem. Wichtig zur Einordnung forensisch relevanter Speicherorte.

https://source.android.com/docs/core/architecture/partition

 Android Debug Bridge (ADB) – offizielles Google-HandbuchErklärt die Nutzung der ADB-Schnittstelle, ein zentrales Werkzeug zur Extraktion und Untersuchung von Android-Daten über Shell-Zugriff, Dateioperationen und Gerätemanagement.

 https://developer.android.com/studio/command-line/adb

Android FileUtils API-DokumentationBeschreibt Methoden zur Dateiverwaltung im Android-Umfeld, welche auch forensisch relevant sind, etwa zum Kopieren, Löschen oder Verschieben von Dateiobjekten im Gerät.

https://developer.android.com/reference/android/os/FileUtils

SANS Institute – "Android Forensics: Examining the Evidence"Ein praxisorientiertes Whitepaper, das die Vorgehensweise bei der Extraktion, Analyse und Bewertung von Beweismitteln auf Android-Geräten ausführlich behandelt.

https://www.sans.org/white-papers/36772/

NIST Special Publication 800-101 Revision 1: "Guidelines on Mobile Device Forensics"Bietet einen umfassenden Rahmen für die Analyse mobiler Geräte inklusive Android. Enthält Empfehlungen zu Tools, rechtlichen Aspekten und technischen Prüfverfahren.

https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-101r1.pdf