IT-Forensik von Mobiltelefonen - Herausforderungen bei der Analyse von physikalischen Speicherabbildern basierend auf NAND-Flashspeichern

Michel Erbach

Kurzfassung

Im Rahmen dieser Arbeit wird die Problematik der NAND-Speichersicherung bei Android-basierten Mobiltelefonen in der IT-Forensik untersucht. Hierzu wird der Aufbau und die Grundfunktionalität eines NAND-Speichers und dessen Einsatz in gängigen Comsumer Produkten wie SSD-Festplatte, USB-Stick und Embedded Devices erläutert. Vertiefend wird auf die Verwaltungsfunktionalität von Android und das Flashdateisystem YAFFS2 eingegangen. Für die Untersuchung und Experimente wurde ein HTC Wildrifire (A333) genutzt. Ferner entstand eine Anwendung zur Visualisierung von Speicherabbildern, in denen die Position von Teilstücken in Pagegröße bekannter Sampledateien sichtbar gemacht wird. Zur Unterstützung in Entwicklung und Test kommt das `mtdutils` Paket unter Debian Linux zum Einsatz.

Schlagwörter: Android, Forensik, MTD, YAFFS, NAND, mobile Kommunikation

x