أصبح استخراج البيانات من أجهزة Android أكثر صعوبة يومًا بعد يوم - حتى في بعض الأحيان من اي فون. إيجور ميخائيلوف، المتخصص في مختبر الطب الشرعي الحاسوبي Group-IB، يخبرك بما يجب عليك فعله إذا لم تتمكن من استخراج البيانات من هاتفك الذكي الذي يعمل بنظام Android باستخدام الطرق القياسية.
قبل عدة سنوات، ناقشت أنا وزملائي الاتجاهات السائدة في تطوير آليات الأمان في أجهزة Android وتوصلنا إلى استنتاج مفاده أن الوقت سيأتي عندما تصبح التحقيقات الجنائية أكثر صعوبة من تحقيقاتها في أجهزة iOS. واليوم يمكننا أن نقول بكل ثقة أن هذه المرة قد حانت.
لقد قمت مؤخرًا بمراجعة هاتف Huawei Honor 20 Pro. ما رأيك في أننا تمكنا من استخراج النسخة الاحتياطية التي تم الحصول عليها باستخدام الأداة المساعدة ADB؟ لا شئ! الجهاز مليء بالبيانات: معلومات المكالمات، دليل الهاتف، الرسائل القصيرة، الرسائل الفورية، البريد الإلكتروني، ملفات الوسائط المتعددة، إلخ. ولا يمكنك إخراج أي من هذا. شعور رهيب!
ماذا تفعل في مثل هذه الحالة؟ الحل الجيد هو استخدام أدوات النسخ الاحتياطي الخاصة (Mi PC Suite للهواتف الذكية Xiaomi، Samsung Smart Switch for Samsung، HiSuite for Huawei).
سنلقي نظرة في هذه المقالة على إنشاء واستخراج البيانات من هواتف Huawei الذكية باستخدام الأداة المساعدة HiSuite وتحليلها اللاحق باستخدام Belkasoft Evidence Center.
ما أنواع البيانات المضمنة في النسخ الاحتياطية لـ HiSuite؟
يتم تضمين أنواع البيانات التالية في النسخ الاحتياطية لـ HiSuite:
- بيانات حول الحسابات وكلمات المرور (أو الرموز المميزة)
- الاتصالات
- التحديات
- رسائل SMS وMMS
- البريد الإلكتروني
- ملفات الوسائط المتعددة
- قاعدة البيانات
- وثائق
- أرشيف
- ملفات التطبيق (الملفات ذات الامتدادات.odex, .وبالتالي, . APK)
- المعلومات من التطبيقات (مثل Facebook، وGoogle Drive، وGoogle Photos، وGoogle Mails، وGoogle Maps، وInstagram، وWhatsApp، وYouTube، وما إلى ذلك)
دعونا نلقي نظرة بمزيد من التفصيل على كيفية إنشاء هذه النسخة الاحتياطية وكيفية تحليلها باستخدام Belkasoft Evidence Center.
النسخ الاحتياطي لهاتف Huawei الذكي باستخدام الأداة المساعدة HiSuite
لإنشاء نسخة احتياطية باستخدام أداة مساعدة خاصة، يتعين عليك تنزيلها من موقع الويب وتثبيت.
صفحة تحميل HiSuite على موقع هواوي:
لإقران الجهاز بالكمبيوتر، يتم استخدام وضع HDB (Huawei Debug Bridge). توجد تعليمات مفصلة على موقع هواوي أو في برنامج HiSuite نفسه حول كيفية تفعيل وضع HDB على جهازك المحمول. بعد تنشيط وضع HDB، قم بتشغيل تطبيق HiSuite على جهازك المحمول وأدخل الرمز المعروض في هذا التطبيق في نافذة برنامج HiSuite الذي يعمل على جهاز الكمبيوتر الخاص بك.
نافذة إدخال الرمز في إصدار سطح المكتب من HiSuite:
أثناء عملية النسخ الاحتياطي، سيُطلب منك إدخال كلمة المرور، والتي سيتم استخدامها لحماية البيانات المستخرجة من ذاكرة الجهاز. سيتم تحديد موقع النسخة الاحتياطية التي تم إنشاؤها على طول المسار C:/المستخدمون/%ملف تعريف المستخدم%/المستندات/HiSuite/النسخ الاحتياطي/.
النسخ الاحتياطي للهاتف الذكي Huawei Honor 20 Pro:
تحليل نسخة احتياطية من HiSuite باستخدام Belkasoft Evidence Center
لتحليل النسخة الاحتياطية الناتجة باستخدام إنشاء عمل جديد. ثم حدد كمصدر البيانات صورة الجوال. في القائمة التي تفتح، حدد المسار إلى الدليل حيث توجد النسخة الاحتياطية للهاتف الذكي وحدد الملف معلومات.xml.
تحديد المسار إلى النسخة الاحتياطية:
في النافذة التالية، سيطالبك البرنامج بتحديد أنواع القطع الأثرية التي تحتاج إلى العثور عليها. بعد بدء الفحص، انتقل إلى علامة التبويب مهمة مدير وانقر فوق الزر تكوين المهمةلأن البرنامج يتوقع كلمة مرور لفك تشفير النسخة الاحتياطية المشفرة.
Кнопка تكوين المهمة:
بعد فك تشفير النسخة الاحتياطية، سيطلب منك Belkasoft Evidence Center إعادة تحديد أنواع القطع الأثرية التي يجب استخراجها. بعد الانتهاء من التحليل، يمكن الاطلاع على معلومات حول القطع الأثرية المستخرجة في علامات التبويب مستكشف الحالة и نبذة .
نتائج تحليل النسخ الاحتياطي لهاتف Huawei Honor 20 Pro:
تحليل نسخة احتياطية من HiSuite باستخدام برنامج Mobile Forensic Expert
برنامج الطب الشرعي الآخر الذي يمكن استخدامه لاستخراج البيانات من النسخة الاحتياطية لـ HiSuite هو .
لمعالجة البيانات المخزنة في نسخة احتياطية من HiSuite، انقر فوق الخيار استيراد النسخ الاحتياطية في نافذة البرنامج الرئيسية .
جزء من النافذة الرئيسية لبرنامج "خبير الطب الشرعي المتنقل":
أو في القسم واردات حدد نوع البيانات المراد استيرادها هواوي النسخ الاحتياطي:
في النافذة التي تفتح، حدد المسار إلى الملف معلومات.xml. عند بدء إجراء الاستخراج، ستظهر نافذة سيُطلب منك إما إدخال كلمة مرور معروفة لفك تشفير النسخة الاحتياطية لـ HiSuite، أو استخدام أداة Passware لمحاولة تخمين كلمة المرور هذه إذا كانت غير معروفة:
ستكون نتيجة تحليل النسخة الاحتياطية هي نافذة برنامج "Mobile Forensic Expert"، والتي تعرض أنواع القطع الأثرية المستخرجة: المكالمات، جهات الاتصال، الرسائل، الملفات، موجز الأحداث، بيانات التطبيق. انتبه إلى كمية البيانات المستخرجة من التطبيقات المختلفة بواسطة برنامج الطب الشرعي هذا. انها مجرد ضخمة!
قائمة أنواع البيانات المستخرجة من نسخة HiSuite الاحتياطية في برنامج Mobile Forensic Expert:
فك تشفير النسخ الاحتياطية لـ HiSuite
ماذا تفعل إذا لم يكن لديك هذه البرامج الرائعة؟ في هذه الحالة، سوف يساعدك برنامج Python النصي الذي تم تطويره وصيانته بواسطة Francesco Picasso، أحد موظفي Reality Net System Solutions. يمكنك العثور على هذا البرنامج النصي على ، ويوجد وصف أكثر تفصيلاً له في "برنامج فك تشفير النسخة الاحتياطية من هواوي."
يمكن بعد ذلك استيراد النسخة الاحتياطية التي تم فك تشفيرها من HiSuite وتحليلها باستخدام أدوات الطب الشرعي الكلاسيكية (على سبيل المثال. ) أو يدويا.
النتائج
وبالتالي، باستخدام أداة النسخ الاحتياطي HiSuite، يمكنك استخراج المزيد من البيانات من هواتف Huawei الذكية مقارنةً باستخراج البيانات من نفس الأجهزة باستخدام الأداة المساعدة ADB. على الرغم من العدد الكبير من الأدوات المساعدة للعمل مع الهواتف المحمولة، يعد Belkasoft Evidence Center وMobile Forensic Expert من بين برامج الطب الشرعي القليلة التي تدعم استخراج وتحليل النسخ الاحتياطية لـ HiSuite.
مصادر
المصدر: www.habr.com