Om data van Android-toestelle af te onttrek word elke dag moeiliker – soms selfs as vanaf die iPhone. Igor Mikhailov, spesialis by die Group-IB Computer Forensics Laboratory, vertel jou wat om te doen as jy nie data van jou Android-slimfoon kan onttrek deur gebruik te maak van standaardmetodes nie.
Ek en my kollegas het etlike jare gelede tendense in die ontwikkeling van sekuriteitsmeganismes in Android-toestelle bespreek en tot die gevolgtrekking gekom dat die tyd sou aanbreek dat hul forensiese ondersoek moeiliker sou word as vir iOS-toestelle. En vandag kan ons met vertroue sê dat hierdie tyd aangebreek het.
Ek het onlangs die Huawei Honor 20 Pro hersien. Wat dink jy het ons daarin geslaag om te onttrek uit die rugsteun wat verkry is met die ADB-hulpprogram? Niks! Die toestel is vol data: oproepinligting, telefoonboek, SMS, kitsboodskappe, e-pos, multimedialêers, ens. En jy kan niks hiervan uitkry nie. Verskriklike gevoel!
Wat om te doen in so 'n situasie? 'n Goeie oplossing is om eie rugsteunhulpmiddels te gebruik (Mi PC Suite vir Xiaomi-slimfone, Samsung Smart Switch vir Samsung, HiSuite vir Huawei).
In hierdie artikel sal ons kyk na die skepping en onttrekking van data vanaf Huawei-slimfone met behulp van die HiSuite-hulpmiddel en hul daaropvolgende ontleding met behulp van Belkasoft Evidence Center.
Watter tipe data is by HiSuite-rugsteun ingesluit?
Die volgende tipes data is by HiSuite-rugsteun ingesluit:
- data oor rekeninge en wagwoorde (of tekens)
- kontakte
- uitdagings
- SMS- en MMS-boodskappe
- e-pos
- multimedia lêers
- Databasis
- die dokumente
- argiewe
- toepassinglêers (lêers met uitbreidings.odex, SO, APK)
- inligting vanaf toepassings (soos Facebook, Google Drive, Google Foto's, Google Mails, Google Maps, Instagram, WhatsApp, YouTube, ens.)
Kom ons kyk in meer besonderhede na hoe so 'n rugsteun geskep word en hoe om dit te ontleed met behulp van Belkasoft Evidence Center.
Rugsteun 'n Huawei-slimfoon met HiSuite-hulpprogram
Om 'n rugsteunkopie met 'n eie program te skep, moet jy dit van die webwerf aflaai en installeer.
HiSuite aflaai bladsy op Huawei webwerf:
Om die toestel met 'n rekenaar te koppel, word HDB (Huawei Debug Bridge)-modus gebruik. Daar is gedetailleerde instruksies op die Huawei-webwerf of in die HiSuite-program self oor hoe om HDB-modus op jou mobiele toestel te aktiveer. Nadat u HDB-modus geaktiveer het, begin die HiSuite-toepassing op u mobiele toestel en voer die kode in wat in hierdie toepassing vertoon word in die HiSuite-programvenster wat op u rekenaar loop.
Kode-invoervenster in die lessenaarweergawe van HiSuite:
Tydens die rugsteunproses sal jy gevra word om 'n wagwoord in te voer, wat gebruik sal word om die data wat uit die toestelgeheue onttrek is, te beskerm. Die geskepte rugsteunkopie sal langs die pad geleë wees C:/Users/%User profile%/Documents/HiSuite/backup/.
Huawei Honor 20 Pro-slimfoon-rugsteun:
Ontleed 'n HiSuite-rugsteun met behulp van Belkasoft Evidence Center
Om die gevolglike rugsteun te ontleed met behulp van skep 'n nuwe besigheid. Kies dan as die databron Mobiele beeld. In die kieslys wat oopmaak, spesifiseer die pad na die gids waar die slimfoonrugsteun geleë is en kies die lêer info.xml.
Spesifikasie van die pad na die rugsteun:
In die volgende venster sal die program jou vra om die tipe artefakte te kies wat jy moet vind. Nadat u die skandering begin het, gaan na die oortjie Task Manager en klik op die knoppie Stel taak op, omdat die program 'n wagwoord verwag om die geënkripteerde rugsteun te dekripteer.
Button Stel taak op:
Nadat u die rugsteun gedekripteer het, sal Belkasoft Evidence Centre u vra om die tipe artefakte wat onttrek moet word, weer te spesifiseer. Nadat die ontleding voltooi is, kan inligting oor die onttrekte artefakte in die oortjies bekyk word Case Explorer и Oorsig .
Huawei Honor 20 Pro-rugsteunontleding resultate:
Ontleding van 'n HiSuite-rugsteun deur die Mobile Forensic Expert-program te gebruik
Nog 'n forensiese program wat gebruik kan word om data uit 'n HiSuite-rugsteun te onttrek, is .
Om data wat in 'n HiSuite-rugsteun gestoor is, te verwerk, klik op die opsie Voer rugsteun in in die hoofprogramvenster.
Fragment van die hoofvenster van die "Mobile Forensic Expert"-program:
Of in die afdeling invoer kies die tipe data om in te voer Huawei rugsteun:
In die venster wat oopmaak, spesifiseer die pad na die lêer info.xml. Wanneer jy die onttrekkingsprosedure begin, sal 'n venster verskyn waarin jy gevra sal word om óf 'n bekende wagwoord in te voer om die HiSuite-rugsteun te dekripteer, óf die Passware-nutsding te gebruik om hierdie wagwoord te probeer raai as dit onbekend is:
Die resultaat van die ontleding van die rugsteunkopie sal die "Mobile Forensic Expert"-programvenster wees, wat die tipes onttrekte artefakte wys: oproepe, kontakte, boodskappe, lêers, gebeurtenisvoer, toepassingsdata. Gee aandag aan die hoeveelheid data wat deur hierdie forensiese program uit verskeie toepassings onttrek word. Dit is net groot!
Lys van onttrek datatipes van HiSuite-rugsteun in die Mobile Forensic Expert-program:
Dekripteer HiSuite-rugsteun
Wat om te doen as jy nie hierdie wonderlike programme het nie? In hierdie geval sal 'n Python-skrif wat ontwikkel en onderhou is deur Francesco Picasso, 'n werknemer van Reality Net System Solutions, jou help. Jy kan hierdie skrif vind by , en die meer gedetailleerde beskrywing daarvan is in "Huawei rugsteun dekripteerder."
Die ontsyferde HiSuite-rugsteun kan dan ingevoer en ontleed word met behulp van klassieke forensiese nutsprogramme (bv. ) of met die hand.
Bevindinge
Met behulp van die HiSuite-rugsteunhulpmiddel kan u dus 'n orde van grootte meer data uit Huawei-slimfone onttrek as wanneer u data van dieselfde toestelle onttrek met die ADB-hulpmiddel. Ten spyte van die groot aantal hulpmiddels om met selfone te werk, is Belkasoft Evidence Centre en Mobile Forensic Expert van die min forensiese programme wat die onttrekking en ontleding van HiSuite-rugsteun ondersteun.
bronne
Bron: will.com