Andriller - Herramientas Forenses de Android


Andriller: Utilidad de software con una colección de herramientas forenses para teléfonos inteligentes. Tiene características, como el potente craqueo de LockScreen para el patrón, el código PIN o la contraseña; decodificadores personalizados para datos de aplicaciones de bases de datos de Android (algunos Apple iOS y Windows) para decodificar comunicaciones. Extracción y decodificadores que producen informes en formatos HTML y Excel.



Configuración básica


Andriller es una aplicación multiplataforma para Microsoft Windows y Ubuntu Linux. El instalador de instalación ligero de Windows solo requiere el paquete redistribuible de Microsoft Visual C ++ 2010 (x86) instalado, los controladores USB para su dispositivo Android y un navegador web para ver los resultados. La versión de Ubuntu necesita el paquete "android-tools-adb" instalado. Sencillo.


Caracteristicas


  • Extracción y decodificación automatizada de datos
  • Extracción de datos de dispositivos no rooteados sin dispositivos mediante la copia de seguridad de Android (versiones 4.x de Android)
  • Extracción de datos con permisos de raíz: demonio ADB raíz, modo de recuperación CWM o binario SU (Superusuario / SuperSU)
  • Análisis y decodificación de datos para la estructura de carpetas, archivos Tarball (de las copias de seguridad de nanddroid) y copia de seguridad de Android (archivos 'backup.ab')
  • Selección de decodificadores de bases de datos individuales para Android y Apple.
  • Descifrado de las bases de datos archivadas de WhatsApp cifradas (msgstore.db.crypt a * .crypt12)
  • Criba de bloqueo de pantalla para patrón, PIN, contraseña
  • Desempaquetando los archivos de copia de seguridad de Android
  • Capturas de pantalla de la pantalla del dispositivo

Decodificadores de base de datos

Esta función permite importar archivos de bases de datos de aplicaciones individuales para el análisis automatizado de los datos. Hay decodificadores principalmente para Android y algunos para aplicaciones Apple iOS. Una vez descodificado con éxito, se mostrarán los informes de su navegador web. Las bases de datos se pueden exportar desde herramientas forenses convencionales, como XRY, Cellebite UFED, Oxygen Forensic, e importarse a Andriller para la decodificación individual. La salida de Andriller ofrece datos de salida más limpios.



Extracción de datos de Androids




Conecte un dispositivo Android con un cable USB, tenga habilitada la depuración USB; asegúrese de que los controladores del dispositivo están instalados.

Primero, seleccione el directorio [Salida] donde desea guardar los datos de extracción. Segundo, haga clic en [Verificar] para ver si Andriller detectó su dispositivo conectado. Es posible que desee que Andriller abra el Informe sobre la finalización de la extracción, o ignore los permisos de root (se extraería mediante el método de Copia de seguridad de Android para Android 4.x). Para comenzar una extracción, presione el botón [Ir] para comenzar la extracción de datos. Andriller debería ejecutar, descargar cualquier dato y descodificarlo todo de una vez.
Nota 1: la versión 4.2.2+ de Android requiere que se autorice a la PC a aceptar la huella digital RSA. Por favor, hágalo y marque la casilla para recordar en el futuro.
Nota 2: Los dispositivos con Superusuario o la aplicación SuperSU requieren la autorización de acceso a la raíz desde una pantalla desbloqueada. Por favor, grandes permisos si así lo solicita.

Análisis de datos


Estructura de carpetas Esto analizará las estructuras de carpetas de los sistemas de archivos de Android y producirá informes al estilo de Andriller. Estos pueden ser exportaciones del sistema de archivos desde archivos de imagen en bruto, o desde extracciones 'adb pull / data', o contenido de archivos '.tar' desempaquetado.

Archivos de Tarball Esto analizará y decodificará los archivos de copia de seguridad de nanddroid como 'data.tar' (incluidos los archivos concatenados), y producirá informes al estilo de Andriller. Las copias de seguridad de tarball de Nanddroid generalmente se producen mediante recuperaciones personalizadas, como ClockWorkMod y TWRP.
Archivos de copia de seguridad de Android Esto analizará y decodificará los archivos 'backup.ab' y producirá informes al estilo de Andriller.

Informes


Una vez que finaliza la extracción de datos, todos los datos se guardan en la carpeta en el directorio especificado antes de la extracción. El archivo de índice principal de extracción es REPORT.html. Contendrá el resumen del dispositivo examinado y enumerará todos los datos extraídos. Desde allí, puede navegar a otros datos extraídos, como SMS o Contactos. Un Excel REPORT.xlsx también se produce simultáneamente, que contiene todos los datos en un archivo.


También habrá los siguientes archivos y carpetas, que pueden ser de su interés:
db / - carpeta donde se extraen las bases de datos descargadas a backup / - carpeta donde se copian las bases de datos descodificadas antes de descodificar db / md5sums.txt - archivo que contiene hashes MD5 de las bases de datos después de que se descargaron, pero antes de que se descodificara el contenido; log-errors.txt: archivo de texto que contiene el registro de cualquier falla o error de descarga o decodificación; backup.ab: si se utilizó un método de copia de seguridad, el archivo de copia de seguridad completo también se almacenará en el directorio.


Web de la herramienta: https://www.andriller.com/download/
No olvides Compartir... 



Siguenos en twitter: @disoftin

Publicar un comentario

1 Comentarios

  1. Buenos dias. Tengo un problema con Andriller, se queda plantado en el momento de "Unpacking backup". No se que podria ser. Lo estoy aplicando para analisar un Samsung J7, en W8.

    ResponderEliminar