對小綠人進行一波大調查

🧂 前言

大家不知道最近有沒有看過最新的 Netflix 紀錄片《陌生號碼：高校簡訊詐騙疑雲》，以及之前的《網路煉獄：揭發N 號房》，劇中都有出現一幕是鑑識人員將嫌疑犯的手機拿去進行證據採集，這讓我想到我可以研究看看如何對常見的 Android 以及 IOS 系統手機進行鑑識，但是因為直接買類似 Cellebrite UFED 的設備或者Magnet AXIOM軟體來玩需要花錢，因此今明兩天我會使用開源的分析工具並利用最近剛結束的MVS CTF 2025的android 與IOS 分類提供的dumpfiles來玩玩看。

🍘 仙貝工具

ALEAPP

下載連結：

ALEAPP : https://github.com/abrignoni/ALEAPP

是由 Alexis Brignoni 開發的一個開源工具，用來做 Android 裝置的 證據檔案分析（forensic artifacts parsing）。其目的在於整理 Android 裝置中常見的 log、事件、Protobuf（如 Google Play Services 或其他使用 Protobuf 的 apps）等資料，協助數位鑑識與 incident response 調查人員快速取出與分析有用資料。

今天的Android 的 dumpfiles 會以今年初剛結束的 MVS CTF 2025 中的Android 分類來分享

Android

下載連結 ： https://drive.google.com/file/d/1Ay-T4kE8J3NX-XLh0krarFvE9j8SK_LT/view

這個連結下載會給一個Android 手機的 data 資料夾內容，並且是壓縮過後的。

這邊可以分享一下在Android 11 後，沒有 root 的權限是沒有辦法去存取到 data 資料夾的，因此會需要一些第三方的工具才可以把它 dump 下來。

我的猜測，這個 dump 的製作是使用一個Magisk 工具安裝到裝置上，這個工具可以讓你獲得到 root 權限並無需修改系統分區，參考連結

ALEAPP 只支援 tar/zip/gz 檔案，因此我是先從連結上下載後解壓再重新壓縮成 zip 一次

得到檔案之後就可以丟給 ALEAPP，上面是填題目給的檔案，下面是選它產生的分析結果要輸出到哪裡的資料夾

下面的 Module 可以全選

接下來按左下角的 Process 它就會開始做分析，分析完之後它會在你跟剛剛填的路徑下新增一個資料夾

這些就是它將分析的結果轉成 HTML，類似生成一個報告，主要的頁面會在 index.html，點開之後會進入到這個頁面

之後就可以開始去翻有沒有什麼可疑的東西

其中的功能很多，這邊介紹其中一部分的內容

Home page

首頁就會顯示一些手機的名稱、SIM卡資訊等等

APP

APP Icons

這邊可以查看使用者在裝置上安裝了什麼app

Packages

它會解析 packages.xml，記錄了裝置上安裝過的所有套件（應用程式），包含：

• 系統應用（隨 ROM 出廠）

• OEM 廠商附加應用

• 使用者自行安裝的應用（例如從 Google Play Store、adb sideload 等）

Bluetooth

Bluetooth Adapter Information

這邊可以看到藍牙的一些設定

Bluetooth Connections

這邊可以看藍牙裝置連線紀錄

總結

今天簡單介紹 ALEAPP 工具，以及如何使用，之後希望可以再更深入研究這部分，如：如何在手機未解鎖或在未授權的情況下還是可以把 data 資料 dump 出來，以及更進階的分析技巧

📚 參考資料

https://www.youtube.com/watch?v=eG55F8glV0o

https://www.youtube.com/watch?v=L_rELVckEAA

https://www.youtube.com/watch?v=BWDdwHL15og

https://www.stark4n6.com/2025/03/magnet-virtual-summit-2025-ctf-android.html