Android image file system

Папки в Android-смартфоне и что они означают

Константин Иванов

Файловые менеджеры на Android могут быть удобным инструментом для организации хранения данных в вашем смартфоне, но сама структура Android (или ее кажущееся отсутствие) c непривычки может показаться несколько запутанной. Данные приложений, картинки, музыка – и доступ к этому всему из одной корневой папки – это несколько иной подход к иерархической структуре, чем то, к чему привыкли пользователи ПК и Mac, и подход этот дает пользователям намного больше возможностей, чем iOS.

В Android вы не сможете получить доступ к глубоко спрятанным системным файлам через обычный файловый менеджер или с помощью подключения к ПК. Но это не значит, что вы можете удалить по своей прихоти любой файл, какой захотите. Давайте посмотрим, как организованы типичные папки в памяти устройства, для чего они нужны и что из этого вы можете удалить, а что нет.

Иерархия памяти устройства на Android

Поскольку Android – это операционная система на базе Linux, в вашем телефоне файловая система также организована по принципу Linux. В этой системе на каждом устройстве есть шесть основных разделов: boot, system, recovery, data, cache и misc. Карты памяти microSD также имеют собственную иерархию памяти. Устройства, несущие на борту Android 7.0 Nougat, получили возможность непрерывного обновления за счет того, что в пару к системному разделу создается второй и один из них в фоне обновляется, а при перезагрузке происходит переключение, позволяющее обновленной системе заработать.

Вот краткое описание того, что содержится в каждой папке.

• boot – Эта папка содержит ядро, виртуальный диск и др., то есть то, что требуется для загрузки телефона, когда вы его включаете.
• system – Папка system содержит файлы операционной системы (также известные как образ системы), которые включают в себя также графический интерфейс Android и предустановленные приложения.
• recovery – Альтернативная возможность загрузить ОС, программы из папки recovery позволяют пользователю делать бэкапы других папок и восстанавливать их.
• data – Папка data сохраняет информацию пользователя, от контактов и сообщений до приложений и музыки, и вот к этому разделу вы имеете доступ через файловый браузер. После сброса до заводских настроек этот раздел стирается.
• cache – Android хранит здесь часто используемые данные и компоненты приложений. Этот раздел может быть стерт для устранения определенных проблем и автоматически восстановлен и обновлен со временем.
• misc – Этот раздел содержит другую важную информацию о настройках системы, такую как конфигурация USB, настроек сети вашего оператора и другие аппаратные настройки, которые в графическом интерфейсе отображаются в виде переключателей вкл./выкл.

Без root–прав пользователи Android могут иметь доступ только к разделу с данными, который открывается вам, когда вы подключаете устройство к своему ПК или используете файловый браузер. Если память вашего телефона может быть расширена при помощи карты, память карты также включается в этот раздел с данными, доступными через ПК или просмотрщик файлов.

Обычно у вас есть доступ только данным приложений, которые хранятся в разделе пользовательских данных. Для доступа к остальной памяти вам потребуются root-права

Приложения и папки в разделе данных

Итак, бегло окинув взглядом основные папки, мы отметили, что у нас нет доступа к загрузочным файлам, файлам восстановления и или системным файлам Android, когда мы просто просматриваем файлы при помощи браузера. Из чего следует утешительный вывод: нельзя просто так взять и вызвать своими действиями крах системы. Совсем другая ситуация возникает, когда у вас есть root-права. Так или иначе, с тем, что хранится в данном разделе, надо быть поаккуратнее: определенные приложения могут задействовать данные, которые здесь сохранены, и перемещение или удаление их может повлечь за собой нестабильную работу системы.

Теперь давайте посмотрим, что находится в разделе данных на вашем устройстве. Для того, чтобы это было возможно, в телефонах с Android версий Marshmallow или Nougat есть свой файловый менеджер, который дает доступ ко всему разделу. Эту опцию можно найти в меню Настройки- Память-Накопитель-Другое. Ряд аппаратов на более старых версиях Android могут иметь, а могут не иметь собственный файловый менеджер, зависит от производителя.

В качестве альтернативы есть множество сторонних приложений, доступных в Play Store, которые выполняют ту же самую роль, например, FX File Explorer или Total Commander.

Можно также управлять вашими файлами с вашего ПК при помощи подключения по USB. Стоит только удостовериться, что ваш телефон находится в режиме MTP (Передача файлов), чтобы вы могли видеть все свои файлы.

Получить доступ к памяти вашего устройства можно при помощи ПК или напрямую через файловый браузер

Если у вас есть ощущение, что память устройства выглядит переполненной и папок слишком много, приглядитесь к ним. Вы увидите многочисленные папки, связанные с приложениями, возможно, даже остатки от тех приложений, что вы уже удалили. Как правило, лучше не трогать никакие папки приложений, но если вы помните, что приложение было удалено, а папка от него осталась, ее удаление вреда не причинит. Скорее всего, она пустая или в ней остались какие-то бесполезные лог-файлы.

Даже если вы не устанавливали большого количества приложений, по умолчанию этот раздел с пользовательскими данными может содержать ряд папок – в них хранятся ваши контакты, музыка, картинки и все остальное. Вот самые основные папки, не связанные со сторонними приложениями, которые вы можете найти.

• Android – это место, куда по умолчанию сохраняются кэш приложений и данные. Эту папку не рекомендуется удалять, если вы не хотите потерять данные приложений. Удаление этой папки может привести к некорректной работе некоторых из них.
• Alarms, Ringtones, Notifications – как видно из названий, в этих папках хранятся аудиофайлы для будильников, рингтонов и уведомлений, которые могут быть использованы как дефолтными, так и сторонними приложениями.
• Cardboard – здесь хранятся данные для ряда приложений VR, а если таковых нет, она остается пустой.
• DCIM – здесь лежат фотографии, которые вы делали при помощи своего основного приложения камеры. Также вы можете увидеть такую папку и на карте microSD, если вы сохраняете фотографии и на нее.
• Downloads – здесь находится все, что скачано вами в веб-браузере, например, в Chrome или Firefox.
• Pictures, Music, Movies, Video – Это папки, которые по умолчанию используются вашими медиаприложениями. Некоторые приложения позволяют вам назначать другие папки, но большая часть медиаплееров по умолчанию будет использовать эти директории. Скриншоты чаще всего сохраняются в папке с картинками.
• Podcasts – Эта папка используется рядом приложений, чтобы отделять подкасты от остальных музыкальных файлов. Если вы не пользуетесь приложениями для прослушивания подкастов, она будет пустой.

Итак, какие папки мне можно (или нужно) удалять?

Не уверен – не удаляй. Это справедливо для всех папок приложений, и трогать их не стоит, за исключением тех случаев, когда вы точно знаете, что хотите сделать. Добавлять и удалять файлы из любых папок с медиа абсолютно безопасно, но постарайтесь в порыве наведения порядка не снести саму папку. Если вы видите, что папка пуста, например, ничего нет в папке Alarms, вы, можете подумать, что она и сама не нужна. Но, с другой стороны, папка не занимает много места. И возможно, она потребуется какому-либо приложению впоследствии, поэтому так ли вам необходимо ее удалять?

Со временем встроенная память вашего устройства будет содержать гораздо больше папок, чем было перечислено выше. Вы будете устанавливать и удалять все большее число приложений. Поэтому наводить порядок в своем устройстве никогда не повредит, ну, разве что вы вообще редко перемещаете файлы в своем телефоне, скачиваете и удаляете их. И еще, удаление пустой папки не освободит вам дополнительного места в памяти. Так что, если требуется выиграть место, лучше посмотрите, какие вы можете удалить ненужные приложения/фильмы, которые не станете пересматривать и т.п.

Теперь, когда вы получили более полную картину того, что это за папки хранятся в памяти вашего устройства, вам будет проще управлять своими файлами, не боясь «сделать что-нибудь не то».

Источник

Andrea Fortuna
Just some random thoughts about the Meaning of Life, The Universe, and Everything

Let’s starting a series of article related to digital forensic focused on mobile devices.
In this first post i’d like to share some thoughts about image acquisition on android devices.

On android devices we can perform two kind of image acquisition:

• Live acquisition: performed on a running device. Usually the analyst gains root permissions using various tools and extract the image using DD.
• Dead acquisition: performed on device booted into another state. For example, if the device has the ClockwordMod installed, the analyst can reboot device to recovery and obtainn a root shell.

Today we will see how to perform a live acquisition of Android data partition.

Note: in order to follow the below process, the device must be rooted.

Rooting Android

Rooting Android phones has become a common phenomenon and rooted phones are very often encountered during investigations. Also, depending on the situation and data to be extracted, the examiner himself has to root the device in order to extract certain data.

However, the process of rooting is specific to each phone model, version of Android and build number, so you always need to find the right tool according to your phone model.

A majority of modern Android phones can bee rooted using an app called KingoRoot, if for some reason this method doesn’t work for you (locked bootloader, Knox, etc.), it may be useful find help at XDA Developers, a website with a large active user community dedicated to android development.

Android rooting software is sometimes repackaged with malware o some potentially unwanted programs, that may alter the filesystem and must be filtered during analysis process.
So, i suggest to use this kind of software only if the “official” methods not works.

Imaging the /data partition

We will use the popular “dd” tool to do our job.
“dd” is present in Android by default in “/system/bin” location.

In order to limit changes of the device filesystem, the image will be transferred to workstation using a tunnel created with NetCat.

So, the first step after rooting must be the installation of Busybox (download here), a collection of console utility containing netcat.

Once downloaded the busybox Apk, install it on device using adb:

Then, connect to the phone and check root access:

We use ‘ls /data’ to test if we have access to a protected directory.

The first time you run it, it should fail. Next we use ‘su’ to switch the user to root.
We then use ‘ls /data’ again to test if we now have access to protected directories.

Next, we need to check the mounted partitions on the device:

We are interested in the data partition, in this case “/dev/block/bootdevice/by-name/userdata”.

Next, we need to set out connection routing between the workstation and the mobile device, forwarding port 8888.

On the workstation run:

So, now let’s starting imaging process using “dd” and pipe the data using netcat.
On root shell on phone run:

and on the forensic workstation:

Once the imaging process ends

we can start the analysis on the image disk, using sleuthkit tools or Autopsy.

Источник

Android File System And Directory Structure Explained

Last Updated: November 7, 2014

Most people are familiar with the file layout on Windows and are happy navigating the Windows file System.

Windows uses a drive letter for each physical drive or partition.e.g. C: drive

Note: A Physical drive will have at least 1 partition but can have more than one. This is true for both Windows and Android.

[outline style=”yellow”]What is a Disk Partition? – Disks can be subdivided into smaller disks called partitions. Partitions appear and can be used as if they were separate physical disks. [/outline]

If you insert a USB drive into your windows machine in shows up as a disk with an assigned drive letter.

Although windows shows a disk icon the disks could be partitions of a single physical disk.

Each disk partition has a root directory which contains files and folders (directories).

The root of the C drive is C:\ and of the F drive is F:\ etc

Android File System Structure

Android uses the Linux file system structure which has a single root .

The diagram below shows the structure

The system partitions and directories are protected and unless your device is rooted you don’t normally have access to these although some file managers will display them.

Physical disks and partitions appear under the root as a directories , and do not have a drive letter as in Windows.

Android doesn’t normally come with a default file manager, and so you will need to install a file manager App like Astro file manager, to locate and manage files and folders.

The sdcard and ext-sdcard Partitions

The sdcard partition is the main storage area for user data and files. It also contains App settings and data.

The sdcard partition exists even though you may not have an external sd card.

It is the internal partition.

If you open the sdcard directory you will see something like this:

Note: partial listing only

These files and directories contain your pictures,films,downloads etc as well as App data and settings.

You can view these files from your PC by connecting your device to a PC using a USB cable.

The ext-sdcard partition will only be visible if your device supports external storage, usually using a microSD slot.

External sd cards use either the FAT,FAT32 or exFAT file system formats.

Most devices support FAT and FAT32, but support for exFAT is limited.

The choice of file system is governed by the partition size as follows:

Card Type

Card Type File System

Max Capacity

SD FAT 2GB SDHC FAT32 32GB see Note SDXC exFAT 2TB

Note: Windows format size limit of 32GB. Can be larger but need to format using external tools. Windows XP could fomat FAT32 Volumes upto 128 GB

Android File Associations

Just as with other operating systems like Windows, Android will use an App to open a particular file type,denoted by the extension.

For example if you try to open a pdf file it will normally use Adobe reader (if installed) to open the file.

To open a file you will normally need to located the file using a file manager.

Just press the file to open it.

If the file type doesn’t already have an App associated with it you should be prompted to choose between the available Apps.

The option to always use that App sets it as the default App for that file type.

If you set it as the default App you will not be prompted again unless you remove the association.

To remove an association you need to remove it from the App itself.

So if the pdf files open with adobe reader and you want to change that:

1. Go to Settings>Apps>Select Adobe reader,
2. Then go to the Launch by default section
3. and Clear defaults

The next time you try to open a pdf file you will be promoted to choose an App.

Android File Managers

If you search the Google play store you will find many file managers.

Which App is the most suitable depends on what you want to do. You should bear in mind that more features/functionality isn’t always better.

File managers like ESF have lots of functionality including:

• Built in FTP client
• Task Manager
• Cloud storage client
• etc

However for many this is a bit of an overkill, and so you might consider installing one of the simpler file managers like file manager and Astro file manager.

File Downloads

When you download a file using Google chrome or another browser App the file it is stored in the download directory.

You can access the directory contents through a shortcut in the Apps folder (if provided).

You can also use a file manager to locate it the folder called download. It is under your primary storage (called sdcard)

Summary

Android uses the Linux File and Directory Structure which consists of a single root.

All drives and partitions are displayed as directories in this tree like structure.

Источник