Der Physical Analyzer von Cellebrite bietet einen sehr mächtigen Hex-Editor an, mit dem man in Roh-Daten suchen kann. Die Suche ist grundsätzlich natürlich sehr spezialisiert.
Was macht man aber, wenn man eine App (z.B. APK Android) zur Untersuchung bekommt um zu schauen was die alles macht, aus welchen Bestandteilen sie besteht usw.?
Ist sehr einfach: Zunächst einmal nimmt man die blanke *.apk Datei und benennt diese entsprechend um, so dass diese nun eine *.zip darstellt. In einer *.apk sind in der Regel enthalten:
Ordner: assets, lib, META-INF, res und entsprechende Unterordner zur jeweiligen App. Dazu kommen dann noch die AndroidManifest.xml, classes.dex sowie die resources.arsc Dateien, die immer vorhanden sind.
Nach dem umbenennen der *.apk Datei in eine *.zip Datei, kann man diese dann wie nachfolgend einfach in den PA einlesen:
1. Menü File - Öffnen (Erweitert)
2. Ohne eine UFED Datei beginnen - Leeres Projekt

3. Nun kann man eine zip-Datei wählen, die man einlesen möchte
4. Mit einem Klick auf Finish wird die gewählte Datei eingelesen


5. Am Ende dann sieht man eine Übersicht der extrahierten Daten sowie die vollständige Struktur, die man nun im Hex-Editor untersuchen kann.

Viel Spaß mit dem Physical Analyzer.
Dieses Tutorial soll dienlich dafür sein, wenn man nicht dutzende Software auf seinem Auswertungs Computer installieren möchte.
APK Dateien insbesondere lassen sich selbstverständlich mit einer Vielzahl an Tools untersuchen.
Auch als Download im PDF Format verfügbar: http://www.omega-defense.com/apk.pdf
Analysing of *.apk files directly with UFED Physical Analyser PDF English
http://www.omega-defense.com/apk_en.pdf