Android-Partitionslayout und Dateihierarchie
Android-Geräte verwenden eine Vielzahl von Partitionen, die als logische Speichereinheiten im permanenten Speicher des Geräts organisiert sind. Die Partitionierung ermöglicht es, den Speicher in unabhängige Segmente zu unterteilen, die jeweils spezifische Aufgaben erfüllen und separat ausgelesen oder analysiert werden können. Für eine erfolgreiche forensische Analyse ist es essenziell, diese Partitionen und ihre Funktionen genau zu kennen.
Wichtige Android-Partitionen und ihre forensische Relevanz
- Bootloader
Der Bootloader ist das erste Programm, das beim Einschalten des Geräts ausgeführt wird. Er konfiguriert grundlegende Hardwarekomponenten und startet den Kernel oder alternative Bootmodi. In der forensischen Untersuchung kann der Bootloader Hinweise auf Manipulationen oder Sperren enthalten.
- Boot
Diese Partition enthält den Kernel und die RAM-Disk, die für das Hochfahren des Android-Betriebssystems notwendig sind. Ohne die Boot-Partition kann das Gerät seine Prozesse nicht starten. Forensisch relevant sind hier etwa manipulierte Kernel-Images, die auf Root-Zugriffe oder Debug-Modi hinweisen.
- Recovery
Die Recovery-Partition erlaubt den Boot in eine spezielle Wiederherstellungsumgebung. Hier können Systemupdates installiert oder Wiederherstellungsmaßnahmen durchgeführt werden. Custom Recoverys wie TWRP oder ClockworkMod sind wichtige Indikatoren für modifizierte Geräte und werden oft bei forensischen Untersuchungen genauer betrachtet.
- Userdata (/data)
Die Userdata-Partition ist die zentrale Sammelstelle für Nutzerdaten. Hier befinden sich App-Datenbanken, Benutzereinstellungen, Mediendateien, Kommunikationsverläufe und weitere wertvolle Beweismittel. Die meisten forensischen Analysen fokussieren sich auf diese Partition, da sie zahlreiche persönliche und geschäftliche Informationen enthält.
- System (/system)
In dieser Partition liegt das Android-Betriebssystem einschließlich Systembibliotheken, vorinstallierter Apps und Konfigurationsdateien. Veränderungen oder Schadsoftware im Systemverzeichnis können Hinweise auf Manipulationen oder kompromittierte Geräte geben.
- Cache (/cache)
Der Cache-Speicher enthält temporäre Daten, häufig genutzte Dateien, Protokolle und zwischengespeicherte Update-Pakete. Forensisch können hier unvollständige oder temporär gespeicherte Informationen gefunden werden, die bei der Rekonstruktion von Ereignissen hilfreich sind.
- Radio (Baseband)
Die Radio-Partition beinhaltet die Firmware für das Mobilfunkmodul (Baseband). Diese steuert Telefonfunktionen wie Anrufe und Netzwerkanbindung. Die Analyse kann auf Netzwerkverbindungen, IMSI-Catcher oder andere netzwerkbezogene Vorgänge hinweisen.
Ergänzende Partitionen mit forensischer Bedeutung
- Persist
Hier werden Kalibrierungsdaten für Sensoren, WLAN- und Bluetooth-Adressen sowie andere gerätespezifische Einstellungen gespeichert. Diese Daten sind oft eindeutig einem Gerät zuordenbar.
- Misc
Die Misc-Partition enthält Hardware- und Boot-Konfigurationsdaten wie Bootflags oder Aktivierungsstatus.
- Metadata
Diese Partition verwaltet Sicherheitsinformationen, den Verschlüsselungsstatus des Geräts und Protokolle des Android Verified Boot-Systems.
- SDCard (/storage/emulated)
Auf der SD-Karte oder dem internen Speicher werden vom Nutzer häufig genutzte Dateien gespeichert, darunter Fotos, Videos, Dokumente und Backups. Gelöschte Daten können hier oftmals rekonstruiert werden.
Identifikation des Partitionslayouts
Die exakte Aufteilung und Bezeichnung der Partitionen kann je nach Gerät und Hersteller variieren. Unter Android lassen sich die Details aller vorhandenen Partitionen über die Datei /proc/partitions oder /proc/mtd abrufen. Dieses Wissen ist grundlegend, um gezielt Daten auszulesen oder zu sichern.
Speicherung von Anwendungsdaten auf dem Mobilgerät
Ein tiefes Verständnis der Android-Dateihierarchie ist entscheidend für die Durchführung forensischer Untersuchungen. Android nutzt eine angepasste Linux-basierte Verzeichnisstruktur, in der System- und Nutzerdaten streng voneinander getrennt werden.
Die wichtigsten Verzeichnisse, die im Rahmen der forensischen Analyse relevant sind, umfassen:
/data/data
Hier speichern Anwendungen ihre spezifischen Daten, wie beispielsweise SQLite-Datenbanken, Einstellungen oder temporäre Dateien.
/data/user
Verzeichnis für mehrere Nutzerprofile, relevant bei Geräten mit mehreren Benutzern.
/system/app und /system/priv-app
Diese Verzeichnisse enthalten vorinstallierte Apps, die sowohl legitim als auch potenziell manipuliert sein können.
/sdcard oder /storage/emulated
Der nutzerzugängliche Speicher für Medien und Dokumente, der auch oft Ziel von Datenextraktion ist.
Forensisch relevante Artefakte in der Dateihierarchie
In den jeweiligen Partitionen und Verzeichnissen können folgende artefaktische Spuren gefunden werden, die für Ermittlungen von großer Bedeutung sind:
- App-spezifische Datenbanken wie WhatsApp (msgstore.db) mit Chatverläufen und Medieninhalten
- GPS-Logs und Standortdaten in diversen App-Logs
- Browser-Historie und Cookies
- WLAN-Profile und Passwörter aus der Persist-Partition
- Temporäre Dateien und Cache-Inhalte mit Hinweisen auf kürzlich durchgeführte Aktivitäten
- System-Logs und Recovery-Protokolle, die Manipulationen oder Fehler dokumentieren
Quellenangaben mit Links
Android Open Source Project – Partitions and Filesystems https://source.android.com/docs/core/architecture/partitions/overview
Carrier, Brian – File System Forensic AnalysisBuchinformation: https://www.oreilly.com/library/view/file-system-forensic/0321268172
/ISBN: 9780321268174
Droid Examiner – Android Forensic Partition Analysis (Blogartikel) https://droidexaminer.com/android-partitions-explained/
iRoot – Android Rooting Tool https://www.iroot.com/
Magnet Forensics – Mobile Device Forensics https://www.magnetforensics.com/solutions/mobile-device-forensic
XDA Developers – Custom Recoveries (TWRP, CWM) https://forum.xda-developers.com/c/twrp-recovery.2851/
Android Developer Guide – File System Overview https://developer.android.com/topic/performance/io