https://blog.avast.

com/2014/07/09/android-foreniscs-pt-2-how-we-recovered-erased
-data/
http://articles.forensicfocus.com/2014/10/28/extracting-data-from-dump-of-mobile
-devices-running-android-operating-system/
http://www.sciencedirect.com/science/article/pii/S1742287611000879
Forensic analysis of social networking applications on mobile devices
http://link.springer.com/chapter/10.1007/978-3-642-34129-8_21
http://ieeexplore.ieee.org/xpl/login.jsp?tp=&arnumber=6933670&url=http%3A%2F%2Fi
eeexplore.ieee.org%2Fxpls%2Fabs_all.jsp%3Farnumber%3D6933670
Android Malware Forensics: Reconstruction of Malicious Events
http://www.sciencedirect.com/science/article/pii/S1742287613000480
Anti-Forensics with Steganographic Data Embedding in Digital Images
On the Construction of a False Digital Alibi on the Android OS
http://www.sciencedirect.com/science/article/pii/S1742287614000449
Memory hacking analysis in mobile devices for hybrid model of copyright protecti
on for Android apps
Database management strategy and recovery methods of Android
Preserving Dates and Timestamps for Incident Handling in Android Smartphones
http://books.google.com.br/books?hl=pt-BR&lr=&id=MyMtAgAAQBAJ&oi=fnd&pg=PA419&dq
=android+anti-forensics&ots=rr3IQTyqID&sig=Kv47FS66TKrAUZPHXdRviYts0K4#v=onepage
&q=android%20anti-forensics&f=false
http://ipv4.os3.nl/_media/2012-2013/courses/ccf/ccf_2013_proposal_canceil_miodus
zewski.pdf
http://ieeexplore.ieee.org/xpl/login.jsp?tp=&arnumber=6320454&url=http%3A%2F%2Fi
eeexplore.ieee.org%2Fxpls%2Fabs_all.jsp%3Farnumber%3D6320454
On forensics: A silent SMS attack
diretrio raiz (Android e Linux)
Tudo o que est no seu sistema Linux e Android fica localizado nesse diretrio, con
hecido como diretrio raiz. Ele pode ser considerado o diretrio C:\ do Windows. Ent
retanto, isso no rigorosamente verdade, porque o Linux e o Android no tm letras de
unidades. Enquanto outra partio no Windows ficar localizada em D:\, nos dois sistem
as baseados no Ncleo Linux essa partio ir aparecer em uma pasta dentro do diretrio ra
iz.

/Cache
armazenamento de dados para execues rpidas (Android)
O cache um dispositivo de acesso rpido que serve de intermdio entre um processo e
o dispositivo Android. Ele armazena informaes usadas com frequncia. Neste diretrio,
ficam arquivados esses arquivos temporrios que podem ser lidos com rapidez pelo
sistema.
/Data Dados (Android)
O diretrio /Data contm dados do usurio armazenados em uma partio separada de MTD (Di
spositivo de Tecnologia de Memria, em traduo livre da sigla em ingls).
/Default.prop - (Android)
Em /default.prop so armazenadas as definies de propriedade-padro e valores restaura
dos a partir dos arquivos em cada reinicializao.
/Dev

arquivos de dispositivos (Linux e Android)

O Linux e o Android consideram dispositivos como arquivos, e o diretrio /dev con

tm uma srie de arquivos especiais que representam os dispositivos. Esses no so arqui
vos reais como ns conhecemos, mas eles aparecem como arquivos. Por exemplo /dev/s
da representa a primeira unidade SATA no sistema. Se voc quiser particion-lo, deve

r informar em um programa especfico para editar o arquivo /dev/sda.

Esse diretrio contm pseudodispositivos, que so dispositivos virtuais que na verdad
e no correspondem ao hardware. Por exemplo: /dev/random gera nmeros aleatrios.
/Etc
arquivos de configurao (Linux e Android)
O diretrio /etc contm arquivos de configurao, que geralmente podem ser editados mo
m um editor de texto. Observe que o diretrio /etc contm arquivos de todo o sistema
de configurao.
/Init inicializao (Android)
Um componente-chave da sequncia de inicializao Android o init, que um programa esp
ecializado em inicializar os elementos do sistema Android. Ao contrrio de outros
sistemas Linux, o Android usa o seu prprio programa de inicializao.
/Lib - Bibliotecas essenciais partilhadas (Linux e Android)
O diretrio /lib contm as bibliotecas necessrias para os comandos binrios essenciais
para as pastas /bin e /sbin. As bibliotecas necessrias pelos binrios na pasta /us
r/bin esto localizadas em /usr/lib.
/Lost+found - arquivos recuperados (Linux e Android)
Cada sistema de arquivos Linux possui um diretrio lost+found (no Android ele se
chama apenas Lost). Se houverem falhas no sistema de arquivos, uma verificao do si
stema ser realizada na prxima inicializao. Qualquer arquivo corrompido encontrado se
r colocado nesse diretrio, de modo que voc possa tentar recuperar os dados.
/Media - mdias removveis (Linux e Android)
O diretrio /media contm subdiretrios em que os dispositivos de mdia removvel inserid
o no computador so montados. Por exemplo, quando voc insere um CD em seu sistema L
inux, um diretrio ser criado automaticamente dentro do diretrio /media. Voc pode ace
ssar o contedo do CD dentro desse diretrio.
/Proc

kernel e arquivos de processo (Linux e Android)

O diretrio /proc semelhante ao diretrio /dev, pois contm arquivos especiais que re
presentam sistemas e informaes de processo e no contm arquivos padro.
/Root - Diretrio home para o super usurio (Linux e Android)
O diretrio /root o diretrio home para o super usurio do Linux. Em vez de estar loc
alizado em /home/root, ele est localizado apenas em /root. Isto diferente do dire
trio /, que o diretrio raiz do sistema.
/Sbin

arquivos binrios de administrao (Linux e Android)

O diretrio /sbin semelhante ao diretrio /bin. Ele contm os arquivos binrios essenci
ais destinados a serem executados pelo usurio root na administrao do sistema.
/Sdcard Carto SD (Android)
Diretrio do carto SD no removvel do Android. Geralmente, esse o nico diretrio que
e ser acessado dentro do Android. Os demais diretrios podem ser acessados atravs d
o root feito no aparelho.
/System Sistema (Android)
Armazena o sistema operacional em uma partio separada de MTD, montada na iniciali
zao (somente leitura).
/Tmp - arquivos temporrios (Linux e Android)
Os aplicativos e programas armazenam arquivos temporrios no diretrio /tmp. Esses

arquivos geralmente so apagados quando o sistema reiniciado, sendo que essa requi
sio pode ser revogada a qualquer momento por utilitrios como o tmpwatch.
O Android em algumas partes "reinventou a roda", ou apenas organizou de uma form
a melhor de um lado e pior de outro, veja:
No linux puro /system j fica embutida em , porm em /sys e /proc;
/cache e /tmp so um s /tmp;
/data corresponde a /usr;
/default.prop e /lost+found so somente /lost+found;
/sdcard fica embutido em /dev como /dev/sdb provavelmente pois o dispositivos d
evem ter uma memria interna que ser o /dev/sda;
/etc corresponde ao mesmo /etc no linux puro;
/init corresponde a /boot;
/lib o mesmo /lib;
o /media na verdade o ponto de montagem dos dispositivos tanto no linux como o
android;
/porc o mesmo /proc;
/root o mesmo /root;
/sbin o mesmo /sbin;
porm a faltou o diretrio /home do usurio e tambm o /bin do usurio.
https://books.google.com.br/books?id=ALlVBQAAQBAJ&pg=PA94&lpg=PA94&dq=como+%C3%A
9+a+estrutura+do+android&source=bl&ots=LylDDl2glB&sig=K_j8bbkHzdpNJkIRCeXmpFCwGl
w&hl=pt-BR&sa=X&ei=lPKiVKntL8HZggT3r4GgAQ&ved=0CEAQ6AEwBzgU#v=onepage&q=como%20%
C3%A9%20a%20estrutura%20do%20android&f=false
Q: Por que o uso de criptografia est crescendo em popularidade?
A: Empresas e usurios de computador utilizam a criptografia como uma maneira de p
roteger seus dados confidenciais ou pessoais de violaes, mas o usurio mdio ainda v es
ta tecnologia como dispendiosa de tempo e dinheiro para a sua implementao. Ento, a
mudana para a criptografia no um movimento dos usurios, necessariamente. Ao contrrio
, proveniente de empresas de hardware e software que esto incorporando a tecnolog
ia de criptografia em seus produtos. O BlackBerry um bom exemplo porque todos os
seus dados so criptografados e essa proteo automtica. Mais importante, o uso da tec
nologia de criptografia completamente invisvel para o usurio.
Q: Qual o impacto de criptografia em investigao forense?
R: Como investigadores, ns somos limitados s informaes sobre o dispositivo que podem
os acessar. Se um disco rgido totalmente criptografado, no temos acesso fcil aos da
dos armazenados e as nossas opes de investigao tornam-se limitadas. A primeira coisa
que um investigador deve fazer determinar o nvel e a extenso da criptografia. Sen
has fracas podem ser quebradas, mas se o usurio possui uma senha forte, torna-se
quase impossvel o acesso atravs de mtodos de fora bruta. Pode ser que apenas alguns
arquivos sejam criptografados e possam existir cpias descriptografado em outros l
ugares do dispositivo. O usurio tambm pode ser uma criatura de hbitos e usar o mesm
o conjunto de senhas. Essas senhas podem ser rapidamente localizadas em formatos
facilmente decifrveis em todo o sistema. Em todos os casos, porm, digo aos invest
igadores que evidncias digitais so apenas uma parte do corpo de provas em um caso.
No caia em uma armadilha onde voc gasta muito tempo tentando decifrar um item pot
encialmente probatrio, quando valiosos dados no criptografados podem ser encontrad
os, basta continuar o seu exame.
Q: Existem mais criminosos mais se voltando para a criptografia?
R: No, em nossa experincia. Novamente, a maioria dos usurios, incluindo criminosos,
gostam da ideia, mas eles simplesmente no tm o conhecimento ou pacincia para imple
mentar a criptografia em uma base contnua de uso. A maioria dos arquivos criptogr

afados que nos deparamos proveniente de sistemas corporativos. Isso nos permite
aproveitar as ferramentas de software e hardware que eles j tm para acessar facilm
ente os dados. Uma vez que os dados so descriptografados um investigador pode apl
icar um conjunto de ferramentas forenses para reunir e analisar os dados armazen
ados.
Q: Existe uma maior chance de danificar ou corromper evidncias criptografadas?

A: H sempre uma pequena chance quando se trabalha com mdia eletrnica que os dados p
ossam ser danificados ou corrompidos. O melhor conselho que posso dar para torna
r o seu procedimento de manipulao de evidncias razovel e defensvel. Razovel significa
usar as ferramentas padro da indstria. Defensvel significa que voc deve cuidadosamen
te documentar o processo.
A maior preocupao que todos os dados na unidade devem ser decifrados, o que pode l
evar horas. Enquanto voc trabalha um drive para descriptografar dados, esse drive
pode falhar. Assim, importante ter certeza de que sua ferramenta forense suport
a dados criptografados, o que torna o processo mais transparente, contribuindo p
ara a garantia do procedimento.
Q: Que novas tcnicas os pesquisadores precisam considerar quando se deparam com u
ma unidade criptografada?
R: Para muitos pesquisadores esta uma nova rea. Primeiro, eles devem tentar deter
minar a extenso da criptografia. Existem muitas ferramentas que lhe permitem crip
tografar o disco rgido inteiro, uma parte do espao em um disco, ou at mesmo arquivo
s individuais. Um investigador deve primeiro determinar se o disco todo criptogr
afado, se no, ele pode procurar por arquivos criptografados. Se softwares de crip
tografia como Encrypt ou TrueCrypt esto no Drive, ento h uma expectativa razovel de
que o usurio possa ter criptografado parte do contedo. Examinadores podem analisar
o uso dessas aplicaes e aprender apenas quantas vezes e quando um programa de cri
ptografia foi executado. Isso pode levar a uma busca por outros arquivos digitai
s que estavam sendo acessados no mesmo perodo.

Se houver informaes criptografadas no disco, o prximo passo a utilizao de senhas con

ecidas. At agora os tribunais nos Estados Unidos tm sido relutantes para forar os ru
s a divulgarem suas senhas pessoais, mas as pessoas so criaturas de hbito e tendem
a usar um nico e pequeno conjunto de senhas para tudo. Esses conjuntos podem ser
encontrados em muitos lugares no disco rgido onde so facilmente decifrados. Por e
xemplo, muitos navegadores permitem ao usurio armazenar suas senhas em vrios sites
. O repositrio onde so armazenadas as senhas geralmente fcil de quebrar.
O pesquisador tem mais opes se determinados arquivos so criptografados. Computadore
s so redundantes por natureza. Os dados que esto dentro do volume criptografado te
ve que vir de algum lugar (outro dispositivo, por exemplo) ou pode ser espalhado
s por todo o disco fora do arquivo criptografado.
Por exemplo, o Microsoft Word grava automaticamente cpias de um documento para um
disco rgido enquanto ele est sendo modificado. Desta forma, o usurio tem um backup
se o computador falhar. Quando esse documento for fechado, o programa exclui to
das as verses temporrias. Se voc criptografar o documento e excluir o documento ori
ginal, a mquina ainda tem os arquivos apagados que podem ser acessados usando for
ense. Outro exemplo: Quando um suspeito trabalha com fotos digitais, imagens em
miniatura esto sempre sendo criadas. Encontrar cpias no-criptografadas de arquivos
no ser sempre possvel, mas os investigadores podem e devem procura-las em todos os
dispositivos relevantes.