首先,你需要了解以下关于Netcat的一些事情…
无论是安全管理员还是恶意攻击者,他们都需要想办法利用类似TCP或UDP协议来读取或向一个网络连接中写入内容,虽然他们获取这些数据的目的可能会不一样。
而Netcat提供了一种非常高效的网络分析方法(从后端到服务器),并且能够使用刚才所提到的协议在目标网络中建立新的连接。除此之外,它不仅能够单独运行,而且还可以通过脚本或其他程序来执行。
Netcat的部分功能如下:
1. 建立或读取通过任意端口的网络连接(TCP或UDP)。
2. 通过其他程序建立连接。
3. 以随机的方式扫描端口并尝试利用开放端口。
4. 利用本地源端口。
5. 用户可定义网络信道模式,并指定使用的或监听的端口、源和远程主机。
6. 检查DNS转发查询。
7. 可配置Telnet。
8. 可通过命令行参数识别标准输入。
9. 提供了Slow-send模式,可指定每秒钟发送的数据行。
10. 发送和接收到的数据以十六进制格式显示(Hex dump功能)。
Adb
在Android分析领域中,有一些工具是我们需要清楚掌握的。其中,最重要的就是安卓调试桥(adb)。
Android SDK已经预装了adb(路径:“platform-tools”目录),因此我们在使用Santoku(一种专用于Android分析的Linux集成环境)时,我们就无需再单独安装adb了,因为平台已经将其安装在“/usr/bin”中了。
如何使用Netcat直接将Android文件系统转移到本地设备中?
目前有很多种方法来获取Android文件系统镜像,但效率最高的一种方法就是将镜像文件直接发送到本地设备中。除此之外,你也可以将提取到的分区镜像提取到SD卡中。下面给出的方法主要是基于Netcat安全工具实现的。操作步骤如下:
1. 登录到设备中(插入真实设备或开启Android模拟器)。
2. Santoku操作系统的默认配置下,Netcat工具所在目录为“~/Desktop/files/binaries”。
3. 如果使用的是真实设备,首先需要确保“/system/bin”目录中已存在Netcat代码,否则系统将会从网上自动下载Netcat。
Cd Desktop/files/binaries/
Ls nc
The following will appear:
nc
4. 在开始之前,我们需要知道使用netcat的优势在哪里。目前绝大多数的工具在提取镜像文件之前,都需要设备先挂载SD卡。但是Netcat可以直接帮助我们将提取到的镜像文件拷贝到本地设备中。
5. 在这一步,Netcat代码必须加载到设备上的“/data/local/tmp”目录中,下面给出的代码可以完成这一步操作:
Adb push nc /data/local/tmp
6. 为了确保代码已在设备目录中加载,我们可以开启一个shell。除此之外,Netcat代码必须拥有可执行权限:
Adb shell
Cd data/local/tmp
Ls –l nc
The following will appear:
-rwxrwxrwx root root 1120360 2017-07-29 07:41 nc
7. 使用命令“mount”来确定目标分区的位置:
Mount
8. 了解到分区信息之后,我们可以得到系统分区的入口点:
/dev/block/mtdblock0
9. 数据分区的入口点:
/dev/block/mtdblock1
10. 使用下列命令将本地端口8888转发到远程端口8888。该操作的意义在于,当本地设备的端口8888建立了连接时,Android设备的端口8888将会收到从本地设备端口重定向过来的相同连接。
Adb forward tcp:8888 tcp:8888
11. 使用下列命令提取数据分区,该命令基于“dd”工具和Netcat实现:
Dd if=/dev/block/mtdblock0 | /data/local/tmp/nc –l –p 8888
12. 运行之后,文件数据会通过端口8888进行发送。
13. 接下来,“dd”命令的输出需要读取并存储为“image.img”:
Nc 127.0.0.1 8888 > sdcard.img
14. 整个过程可能需要一点时间,而且在读取和存储的过程中,操作界面可能会停留在如下所示的情况:
Dd if=/dev/block/mtdblock0 |/data/local/tmp/nc –l –p 8888
Nc 127.0.0.1 8888 > image.img
15. 当所有操作全部完成之后,输出结果将如下所示:
1951744+0 records in
1951744+0 records out
999292928 bytes transferred in 1849.559secs (527454 bytes/sec)
注意:创建的镜像文件名为“image.img”,该文件将存储在本地设备中的当前工作目录中。
参考资料
1. http://resources.infosecinstitute.com/android-forensics-labs/
2. http://resources.infosecinstitute.com/getting-started-android-forensics/
文章评论