安卓存储镜像

准备工作

一台被镜像取证的Android设备

一台电脑运行的Windows系统

Android设备需要root，并开启USB调试模式，使用USB线连接到Windows系统。

假定adb工具，解压到D:\tmp\adb目录，并已安装adbdriver驱动。

RFSD是跨平台的文件操作服务，在安卓设备里运行该服务，可实现读取安卓存储数据通过USB线传給电脑，电脑使用该数据虚拟出磁盘。

下载地址：http://ranfs.com/userfiles/downloads/rfsd/linux/rfsd-linux-armv4tl.zip

把rfsd-linux-armv4tl.zip压缩包里的rfsd也解压到，D:\tmp\adb目录

注：如果是64位的arm处理器，需要下载rfsd-linux-aarch64.zip

下载RFSD到安卓设备，并用ROOT权限运行。打开cmd，切换到d:\tmp\adb目录下，执行如下命令。

adb devices
adb forward tcp:6688 tcp:6688
adb push rfsd /data/local/tmp
adb shell
su
mount
cd /data/local/tmp
chmod 755 rfsd
 ./rfsd -d

红圈里的/dev/stl11，为用户数据分区，必须在/data的前面，在您的设备上可能会不一样。

注：这里存在个问题：rfsd下载到数据分区，会导致数据恢复时，删除数据可能被覆盖，如需要下载到不是数据分区，请自行查找相关方法，目的只有一个，只要能把rfsd放进设备里，用root权限运行起来即可。

在Windows系统上，下载RFDK并运行，RFDK是虚拟磁盘驱动器，可以把远程硬盘虚拟为本地磁盘。

下载地址：http://ranfs.com/pub/rfdk/windows/rfdk.7z

下载到本地解压，执行install.bat等待安装完成

在Windows上运行rfdk-gui，新建客户端连接如下图：

输入ip地址127.0.0.1，点击确定添加完成，这时主界面上会显示安卓客户端，拥有的相关存储设备列表。

双击挂载点为/data/的栏目，会弹出挂载磁盘配置对话框，默认只读，确定后就完成了磁盘挂载。

选中红圈中的栏目/dav/stl11，右键导出，对话框如下图，只需设置导出文件存放路径，其它默认即可。

注：使用导出镜像功能，要比通过winhex等打开磁盘导出速度快。

使用winhex等工具，打开\.\PhysicalDrive3，完成对安卓设备用户数据分区的镜像取证等工作。