- Im zweiten Schritt der mobilen forensischen Analyse steht die kontrollierte technische Vorbereitung im Mittelpunkt. Ziel ist die Einrichtung einer forensisch sauberen Umgebung sowie die Möglichkeit zum systematischen Zugriff auf das Android-Gerät.
Einrichtung einer forensischen Umgebung für Android
Für einen zuverlässigen Ablauf ist ein isolierter Computer erforderlich, der keine Altlasten speichert und frei von Schadsoftware ist. Nur so kann sichergestellt werden, dass es zu keiner Kreuzkontamination zwischen Untersuchungsgerät und Arbeitsstation kommt. Ein sogenannter forensisch steriler Rechner vermeidet systemseitige Eingriffe in das zu analysierende Mobilgerät.Auf diesem Computer werden folgende Werkzeuge und Komponenten installiert:Android Software Development Kit
Das Android SDK bildet die technische Basis für die Verbindung und Kommunikation mit dem Gerät. Es wird von Entwicklern verwendet, lässt sich aber ebenso in der forensischen Arbeit einsetzen. Enthalten sind Werkzeuge zur Datenübertragung, Gerätekonfiguration sowie die zentrale Schnittstelle Android Debug Bridge. Diese Plattform erlaubt die Steuerung des Geräts über den Computer und ist Grundlage vieler Extraktionsmethoden.
Treiberinstallation für Mobilgeräte
Damit ein Android-Gerät erfolgreich mit dem forensischen Computer kommunizieren kann, müssen gerätespezifische Treiber installiert werden. Da es keinen universellen Android-Treiber gibt, ist es erforderlich, den korrekten Treiber des jeweiligen Herstellers manuell zu installieren. Dieser Vorgang ist essenziell für den Zugriff auf das Gerät über USB. Neuere Windows-Systeme versuchen zwar Treiber automatisch zu erkennen, dies gelingt jedoch nicht in allen Fällen zuverlässig.
Einige forensische Werkzeuge enthalten eine breite Auswahl an gängigen Treibern. Trotzdem sollte stets geprüft werden, ob der Hersteller aktuelle Versionen auf seiner Website zur Verfügung stellt. Erst nach erfolgreicher Treiberinstallation kann das Gerät korrekt verbunden und die Datenübertragung aktiviert werden.
Android Debug Bridge und privilegierter Zugriff
Die Android Debug Bridge ist ein wesentliches Instrument für den forensischen Zugriff. Sie erlaubt die Ausführung von Kommandos, die Daten anzeigen, sichern oder extrahieren können. Voraussetzung ist die vorherige Aktivierung des USB-Debugging auf dem Gerät selbst. Besonders wichtig ist in der forensischen Praxis die Möglichkeit, Root-Rechte zu erlangen. Root-Zugriff gewährt vollständigen Zugriff auf das Dateisystem und die internen Speicherbereiche, die für eine vollständige Analyse notwendig sind.
Root-Vorgang am Beispiel Samsung Galaxy
Ein praxisnaher Ansatz zeigt sich beim Rooten des Geräts Samsung Galaxy S Duos 2. Dafür wird nach Aktivierung des USB-Debuggings die Anwendung iRoot verwendet. Nach dem Verbinden mit dem Computer startet die Anwendung den Root-Vorgang automatisch. Nach erfolgreicher Ausführung steht ein erweitertes Zugriffsniveau zur Verfügung, das eine tiefere Analyse ermöglicht.
Dateisystem und Speicherstruktur analysieren
Für das Verständnis digitaler Spuren ist es unverzichtbar, das Speicherlayout des Geräts zu kennen. Android verwendet eine klar strukturierte Partitionierung mit Bereichen für das System, den Benutzerbereich und temporäre Daten. Auch die Daten einzelner Anwendungen werden innerhalb definierter Verzeichnisse gespeichert. Das Dateisystem basiert häufig auf ext4 oder F2FS. Die Analyse dieser Strukturen ist für die Interpretation von Artefakten entscheidend.
Quellenangaben
Android SDK https://developer.android.com/studio
Samsung Gerätetreiber – https://developer.samsung.com/galaxy/others/android-usb-driver-for-windows
iRoot Software – https://www.iroot.com
LiME Memory Extractor – https://github.com/504ensicsLabs/LiME
Autopsy Forensics – https://www.sleuthkit.org/autopsy/
Magnet AXIOM – https://www.magnetforensics.com/products/magnet-axiom