Копирование раздела Userdate это только половина работы, самое вкусное на десерт.
Займёмся сегодня поиском записей блокнота из скопированного раздела Userdate, того самого, где храниться вся пользовательская информация, включая базы данных приложений и системных в том числе.
Итак, подопытный кролик у нас смартфон марки ZTE, висящий на заставе, изредка перезагружающийся. Чтобы добраться до данных в таком телефоне нам надо скопировать содержимое внутренней памяти. На этом этапе у нас два пути:
- первый это скопировать специальной утилитой, умеющей работать с данным типом процессора;
- второй путь это снять микросхему памяти и программатором слить дамп.
Данный смартфон построен на процессоре Qualcomm, так что при наличии файла загрузочного скрипта данной модели телефона процедуру можно провернуть даже с помощью небезызвестного QPST. Откровенно говоря я так и сделал.
Таким образом я получил образ вожделенного раздела Userdate с внушительным размером 13 Гигабайт, ухты. Что же дальше? Дальше вооружаемся многими любимой, и есть за что, программой R-Linux. Выбираем в нашей программе полученный файл в качестве источника образа диска и запускаем процедуру Распознавания. Несколько минут она повозюкается с файлом и выдаст что-то вроде такого.
Вот теперь с данными уже можно работать, точнее найти файлы, папки и прочие вкусняшки. Чтобы их увидеть в нормальном режиме в виде дерева каталогов, надо подать команду Показать файлы.
После некоторого времени программа выдаст всё дерево файловой системы пользовательского раздела.
Отлично, все файлы как на ладони, можно скопировать фотографии, документы и тому подобное. Но мне поставили задачу вытащить записи блокнота. Что ж, это не совсем просто, т.к. записи не храняться в текстовом файле и вообще сразу неочевидно где они лежат. Однако стоит принять во внимание иерархию программного обеспечения и названия программ на английском. Так что думаю если поискать слово "Notepad" по всей файловой системе, что-нибудь да вывалиться на моё обозрение. Приступаю.
Какая удача, первое же вхождение выдало указатель на программу Блокнот. Здесь можно видеть содержимое каталога и среди прочего есть "Databases", уверен, там лежит то, что я ищу, так что смело открываю.
Бинго! Передо мной два файла, один меня интересует больше другого, это файл notepad.db. Теперь его надо извлечь из нашего образа. Делаю следующее, убираю все пометки и оставляю только на самом файле, жму нужную кнопку на панели инструментов в программе.
Файл успешно вытянут из дампа раздела. Но что дальше? Ведь файл представляет собой базу данных SQLite и просто открыть не получится. Попытка открыть Блокнотом на компьютере выдаст примерно следующую картину.
Ничего невозможно разобрать, иероглифы и набор каких то знаков, беда в общем. Но на нашу с вами радость, есть средства для открытия и работы с такими объектами и даже онлайн. Таким я и воспользовался, вооружившись возможностями SQLite Viewer.
Итак, скармливаю полученный файл на данном сайте, и вдруг на моих глазах происходит чудо.
Можно наблюдать все найденные колонки с данными, остаётся их Экспортировать, жму соответствующую кнопку и получаю файл. Я выбрал формат данных CSV. В ответ я получил архив со всеми таблицами.
Но меня конечно интересует только таблица Notes. Что делать дальше думаю уже всем понятно, открываю Excel и подсовываю в качестве источника данных полученный файл CSV.
И все записи распознаются, останется их только загрузить уже в книгу Эксель и дальше как говорится дело техники, хочешь печатай, хочешь переводи в текстовый формат и так далее.
Таким образом, я получил все записи Блокнота из смартфона ZTE X9 на великую радость клиенту. Почему он так жаждал этих записей мне понять не сложно, там же все его явки и пароли.
Мне пришлось заретушировать все надписи на скриншоте, т.к. там слишком много конфиденциальной информации, но я никому их и не расскажу, даже пожалуй сотру с диска после передачи клиенту.
Вот так легко и непринуждённо я провёл часть вечера за интересным занятием, чего и вам желаю.
Легко к повторению. Лайк, если понравилось.
