ADB 프로토콜을 이용하여 특정 애플리케이션의 사용자 데이터를 추출할 수 있다. 사용자 데이터의 종류는 스마트 기기 앱과 같이 연락처, 통화기록, 인터넷 히스토리, 메일, 문자, 사진, 미디어 파일 등이 있으며 이러한 정보는 포렌식 수사 과정에서 사용자 행위를 유추하는데 큰 도움을 줄 수 있다. 기본적으로 안드로이드 애플리케이션은 ‘/data/data/패키지명’ 경로 아래에 자신의 데이터를 저장한다. 저장 방식은 크게 SQLite, Preference, Local File 세 가지 형식으로 나뉘며 대부분 SQLite 데이터베이스를 사용한다. 따라서 ADB 프로토콜을 사용하여 (파일 추출 명령어: ADB pull [src] [dst]) 각각의 애플리케이션 데이터를 추출할 수 있다. 데이터는 각각의 애플리케이션별로 분산되어 저장되어 있기 때문에 각각 애플리케이션의 데이터를 분석해야 한다. 현재 출시되어 있는 스마트폰 포렌식 도구에서는 통화목록, 전화번호부, SMS/MMS 등의 기본 데이터만 추출하여 분석하지만, 이외에도 안드로이드 설치 응용프로그램과 같이 다양한 애플리케이션들이 사용되고 있다. 특히, 카카오톡, 네이트온 등과 같은 SNS(Social Network Service) 애플리케이션과 구글지도, 다음지도, 네이버지도 등과 같은 지도 애플리케이션은 대부분의 사람들이 사용하고 있다.

ADB backup[편집]

사용자 정보 및 애플리케이션 데이터를 ’adb backup’ 명령어를 이용하여 백업할 수 있다. ‘adb backup’은 안드로이드 4.0 이상에서만 사용할 수 있으며 다양한 옵션 선택을 통해 sdcard와 설치된 애플리케이션 데이터에 대한 선별 수집을 할 수 있다. 아래 그림은 ’adb backup’ 명령어의 사용법을 출력한 화면이다. ’[-f <file>]’은 백업 파일의 경로 및 이름을 지정하는 옵션이다. [-apk|-noapk]’는 현재 스마트기기에 설치된 애플리케이션 설치 파일을 백업 파일에 포함 할 것인지를 지정하는 옵션이다. 해당 옵션 지정 시 ’adb backup’의 실행 결과는 해당 애플리케이션을 설치할 때 사용한 ‘.apk’ 파일을 별도로 백업한다.