Mraxzist/Collecting_information_about_Android

Для сбора информации требуется **root-доступ к Android-устройству**, а также включённая отладка по USB и доступ к устройству через `adb`. ## collect_android_apps.ps1 Скрипт собирает сведения об установленных приложениях на Android-устройстве. Основные действия: * получает список установленных пакетов; * собирает сведения о каждом приложении через `dumpsys package`; * фиксирует разрешения, UID, пути к APK, состояние приложения и связанные системные данные; * собирает данные `appops`, то есть фактические операции и разрешённые действия приложений; * при необходимости сохраняет APK-файлы приложений; * собирает общую системную информацию: состояние сервисов, сеть, Wi-Fi, батарею, задания, уведомления, активные процессы и другие данные; * формирует итоговые файлы в формате `CSV`, `JSON` и текстовые дампы. Возможные флаги запуска: * `-OutputDir <путь>` - указывает каталог, в который будут сохранены результаты сбора; * `-PullApks` - дополнительно выгружает APK-файлы приложений; * `-SkipPerPackageDumps` - пропускает подробные дампы по каждому отдельному пакету; * `-SkipAppOps` - пропускает сбор данных `appops`; * `-SkipUsageStats` - пропускает сбор статистики использования приложений; * `-SkipSystemInfo` - пропускает сбор общей системной информации; * `-SkipSystemLogs` - пропускает сбор системных журналов; * `-FullSystemDumpsys` - включает полный сбор `dumpsys` по системным сервисам; * `-Force` - разрешает перезапись или повторное использование уже существующего каталога вывода. Пример запуска: .\collect_android_apps.ps1 -OutputDir ".\android_apps" -PullApks Назначение файла: **инвентаризация приложений и сбор данных для последующего криминалистического анализа активности Android-приложений**. ## collect_android_logical_fs.ps1 Скрипт выполняет логический сбор файловой системы Android-устройства. Основные действия: * подключается к устройству через `adb`; * проверяет наличие `su` и `tar` на устройстве; * формирует архив логического содержимого файловой системы; * позволяет включать или исключать отдельные пути; * по умолчанию исключает системные виртуальные каталоги вроде `/proc`, `/sys`, `/dev`, а также другие служебные области; * может отдельно учитывать или пропускать `/data`, `/storage`, `/sdcard`; * сохраняет архив на компьютер; * при необходимости распаковывает архив локально; * рассчитывает хэш-сумму архива; * создаёт служебные файлы с описанием результата сбора. Возможные флаги запуска: * `-OutputDir <путь>` - указывает каталог для сохранения результатов; * `-ArchivePath <путь>` - указывает путь к итоговому архиву логической копии; * `-IncludePath <путь>` - добавляет конкретный путь Android-файловой системы в сбор; * `-ExcludePath <путь>` - исключает конкретный путь из сбора; * `-SkipData` - пропускает сбор раздела `/data`; * `-IncludeStorage` - явно включает пользовательское хранилище; * `-SkipStorage` - пропускает сбор пользовательского хранилища; * `-IncludeDuplicateMounts` - включает дублирующиеся точки монтирования; * `-FollowSymlinks` - разрешает переход по символическим ссылкам; * `-PreserveSelinux` - сохраняет SELinux-контексты при архивации; * `-PlanOnly` - формирует только план сбора без создания архива; * `-NoExtract` - не распаковывает полученный архив локально; * `-SkipArchiveHash` - пропускает расчёт хэш-суммы архива; * `-Force` - разрешает использование уже существующих путей вывода. Пример запуска: .\collect_android_logical_fs.ps1 -OutputDir ".\android_logical_fs" -IncludeStorage Назначение файла: **получение логической копии файловой системы Android-устройства для анализа файлов, каталогов, пользовательских данных и артефактов приложений**. ## collect_android_physical_dump.ps1 Скрипт выполняет физический или блочный дамп памяти хранения Android-устройства. Основные действия: * ищет блочные устройства в `/dev/block`; * определяет разделы через каталог `by-name`; * получает размеры блочных устройств через `blockdev`; * копирует разделы с помощью `dd`; * может сохранять как полный образ устройства, так и отдельные разделы; * отдельно поддерживает сбор внешней SD-карты, если она обнаружена; * рассчитывает SHA-256 для полученных образов; * формирует манифесты и служебные файлы; * может подготовить RAW-образ, более удобный для открытия в FTK Imager. Возможные флаги запуска: * `-AllowUnsafeShellFallback` - разрешает резервный способ копирования через `adb shell`, если основные режимы не сработали; * `-SkipWholeRaw` - пропускает создание полного RAW-образа основного блочного устройства; * `-SkipPartitions` - пропускает создание отдельных образов разделов; * `-SkipExternalSd` - пропускает проверку и сбор внешней SD-карты; * `-SkipFreeSpaceCheck` - отключает предварительную проверку свободного места на диске компьютера; * `-CreateFtkRaw` - создаёт дополнительный RAW-образ, подготовленный для более удобной работы в FTK Imager; * `-FtkPreset ` - выбирает режим подготовки FTK-совместимого RAW-образа. По умолчанию используется `FileSystems`. Пример запуска: .\collect_android_physical_dump.ps1 -CreateFtkRaw -FtkPreset UserDataOnly Назначение файла: **получение физического дампа разделов Android-устройства для глубокого криминалистического анализа, восстановления удалённых данных и работы в инструментах вроде FTK Imager**.

标签：Libemu