Android-Dateisysteme und forensische Speicherorte
Übersicht und Relevanz für die digitale Forensik
Das Institut für Computerforensik untersucht in diesem vierten Teil die Struktur des Android-Dateisystems und dessen Bedeutung für die digitale Spurensicherung. Das Android-Betriebssystem basiert auf einer modifizierten Linux-Architektur, die in Partitionen unterteilt ist. Jede Partition erfüllt spezifische Aufgaben und kann je nach Art und Umfang der gespeicherten Daten relevante forensische Artefakte enthalten.
Forensisch relevante Partitionen und Beispielartefakte
- boot
Enthält Kernel und RAM-Disk. Für das Startverhalten des Geräts essenziell. Kann manipuliert werden, um Root-Zugriff zu erlangen oder um Beweise zu verstecken.
- recovery
Dient der Wiederherstellung und Update-Verwaltung. Führt temporäre OS-Images aus.
- system
Speichert vorinstallierte Apps, Bibliotheken und Systemkonfigurationen wie z. B. build.prop. Diese Datei kann Hinweise auf das Gerätemodell, die Android-Version und spezifische Herstelleranpassungen geben.
- userdata (/data)
Kernbereich für die Beweissicherung. Beinhaltet Anwendungsdaten, SMS, Chatverläufe, Anruflisten, Kontakte, GPS-Daten und vieles mehr. Auch SQLite-Datenbanken befinden sich hier.
- cache
Speichert temporäre Daten. Kann Log-Dateien und Updatepakete enthalten.
- misc
Beinhaltet diverse Systemeinstellungen, u. a. USB-Konfigurationen.
- sdcard
Interner oder externer Speicher mit Zugriff durch viele Apps. Beinhaltet Fotos, Videos, Downloads und Verzeichnisse wie DCIM, Android, WhatsApp u. a.
Weitere wichtige Verzeichnisse und Dateien
- /data/data/
Hier speichert jede App ihre eigenen Daten in einem separaten Unterverzeichnis. Wichtige Artefakte: Shared Preferences (XML-Dateien), interne und externe Speicherpfade, SQLite-Datenbanken.
- /proc/
Virtuelles Dateisystem mit Informationen zum Systemstatus und laufenden Prozessen. Für volatile Beweissicherung wertvoll.
- /dev/
Stellt Gerätedateien zur Verfügung. Kann zur Analyse der Hardwarekonfiguration herangezogen werden.
- dalvik-cache
Optimierte Bytecode-Dateien von Apps. Enthält nützliche Artefakte zum App-Verhalten und Laufzeitinformationen.
- mnt/
Mount-Punkte für interne und externe Dateisysteme, z. B. sichere SD-Karten.
Dateisysteme in Android
Android verwendet mehrere Dateisystemtypen, die unterschiedliche Eigenschaften hinsichtlich Sicherheit, Geschwindigkeit und Formatierung besitzen.
Flash-Speicher-Dateisysteme
JFFS2, YAFFS2, F2FS. Besonders für den internen Speicher wichtig.
Medienbasierte Dateisysteme
EXT4 ist das Standard-Dateisystem für viele Partitionen. FAT32 wird meist für SD-Karten verwendet.
Pseudodateisysteme
procfs, sysfs u. a. bieten Zugriff auf Kernel- und Laufzeitinformationen.
Das Mounten eines Dateisystems bedeutet, es in die bestehende Hierarchie einzuhängen. Android verwendet Mount-Punkte, um Partitionen oder externe Speicher logisch zugänglich zu machen.
Speicherorte von App-Daten
- Shared Preferences: XML-Dateien für Einstellungen, meist in /data/data/[AppName]/shared_prefs
- Internal Storage: Anwendungsspezifisch, schreibgeschützt für andere Apps
- External Storage: Zugriff über z. B. /sdcard/Android/data/
- SQLite-Datenbanken: Lokale App-Datenbanken z. B. für Chat-Verläufe, Kontakte, Standortdate
Die genaue Kenntnis des Android-Dateisystems, seiner Partitionen und Speicherorte ist ein zentraler Bestandteil jeder forensischen Analyse. Die im Gerät gespeicherten Benutzerinformationen verteilen sich über verschiedene logische Einheiten und Verzeichnisse. Für eine lückenlose Beweissicherung müssen alle relevanten Speicherorte identifiziert, analysiert und gesichert werden.
Quellenangaben:
Offizielle Android-Dokumentation zum PartitionsschemaDetailliert die Kernpartitionen wie boot, system, userdata, cache usw. und deren Bedeutung im Android-Betriebssystem. Wichtig zur Einordnung forensisch relevanter Speicherorte.
https://source.android.com/docs/core/architecture/partition
Android Debug Bridge (ADB) – offizielles Google-HandbuchErklärt die Nutzung der ADB-Schnittstelle, ein zentrales Werkzeug zur Extraktion und Untersuchung von Android-Daten über Shell-Zugriff, Dateioperationen und Gerätemanagement.
https://developer.android.com/studio/command-line/adb
Android FileUtils API-DokumentationBeschreibt Methoden zur Dateiverwaltung im Android-Umfeld, welche auch forensisch relevant sind, etwa zum Kopieren, Löschen oder Verschieben von Dateiobjekten im Gerät.
https://developer.android.com/reference/android/os/FileUtils
SANS Institute – "Android Forensics: Examining the Evidence"Ein praxisorientiertes Whitepaper, das die Vorgehensweise bei der Extraktion, Analyse und Bewertung von Beweismitteln auf Android-Geräten ausführlich behandelt.
https://www.sans.org/white-papers/36772/
NIST Special Publication 800-101 Revision 1: "Guidelines on Mobile Device Forensics"Bietet einen umfassenden Rahmen für die Analyse mobiler Geräte inklusive Android. Enthält Empfehlungen zu Tools, rechtlichen Aspekten und technischen Prüfverfahren.
https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-101r1.pdf