Выманне дадзеных з Android-прылад з кожным днём становіцца ўсё больш складаным – часам нават складаней, чым з iPhone. Ігар Міхайлаў, спецыяліст Лабараторыі камп'ютарнай крыміналістыкі Group-IB, распавядае, што рабіць, калі вы не можаце атрымаць дадзеныя са смартфона на Android стандартнымі спосабамі.
Некалькі гадоў таму мы з калегамі абмяркоўвалі тэндэнцыі развіцця механізмаў бяспекі ў Android-прыладах і дашлі да думкі, што надыдзе час, калі іх крыміналістычнае даследаванне стане складаней, чым для iOS-прылад. І сёння з упэўненасцю можна сказаць, што гэты час нетутэйша.
Нядаўна я даследаваў Huawei Honor 20 Pro. Як вы думаеце, што ўдалося атрымаць з яго рэзервовай копіі, атрыманай з дапамогай утыліты ADB? Нічога! У прыладзе поўна дадзеных: інфармацыя аб выкліках, тэлефонная кніга, SMS, перапіска ў месэнджарах, электронная пошта, мультымедыйныя файлы і г.д. А вы не можаце нічога гэтага атрымаць. Жудасныя адчуванні!
Як жа быць у такой сытуацыі? Добры выхад – выкарыстанне фірмовых утыліт рэзервовага капіявання (Mi PC Suite – для смартфонаў Xiaomi, Samsung Smart Switch для – Samsung, HiSuite для – Huawei).
У дадзеным артыкуле мы разгледзім стварэнне і выманне дадзеных са смартфонаў Huawei утылітай HiSuite і іх наступны аналіз з дапамогай Belkasoft Evidence Center.
Якія тыпы дадзеных пападаюць у рэзервовыя копіі HiSuite?
У рэзервовыя копіі HiSuite пападаюць наступныя тыпы дадзеных:
дадзеныя аб акаўнтах і паролях (або токена)
кантакты
выклікі
SMS- і MMS-паведамленні
электронная пошта
мультымедыйныя файлы
базы дадзеных
дакументы
архівы
файлы прыкладанняў (файлы з пашырэннямі.dex, .so, .apk)
інфармацыя з прыкладанняў (такіх як Facebook, Google Drive, Google Photos, Google Mails, Google Maps, Instagram, WhatsApp, YouTube і г.д.)
Разбяром больш падрабязна, як ствараецца такая рэзервовая копія і як яе прааналізаваць з дапамогай Belkasoft Evidence Center.
Стварэнне рэзервовай копіі смартфона Huawei з дапамогай утыліты HiSuite
Для стварэння рэзервовай копіі фірмовай утылітай яе трэба загрузіць з сайта Huawei і ўсталяваць.
Старонка загрузкі праграмы HiSuite на сайце Huawei:
Для спалучэння прылады з кампутарам выкарыстоўваецца рэжым HDB (Huawei Debug Bridge). На сайце Huawei ці ў самой праграме HiSuite ёсць падрабязная інструкцыя аб тым, як актываваць рэжым HDB на мабільнай прыладзе. Пасля актывацыі рэжыму HDB запусціце на мабільным прыладзе прыкладанне HiSuite і ўвядзіце код, які адлюстроўваецца ў гэтым дадатку, у акно праграмы HiSuite, запушчанай на кампутары.
Акно ўводу кода ў дэсктопнай версіі HiSuite:
У працэсе стварэння рэзервовай копіі запатрабуецца ўвесці пароль, які будзе выкарыстоўвацца для абароны дадзеных, вынятых з памяці прылады. Створаная рэзервовая копія будзе размяшчацца па дарозе C:/Users/%User profile%/Documents/HiSuite/backup/.
Рэзервовая копія смартфона Huawei Honor 20 Pro:
Аналіз рэзервовай копіі HiSuite з дапамогай Belkasoft Evidence Center
Для аналізу атрыманай рэзервовай копіі з дапамогай Belkasoft Evidence Center стварыце новую справу. Затым у якасці крыніцы дадзеных абярыце пункт Mobile Image. У якое адкрылася меню пазначце шлях да каталога, дзе размяшчаецца рэзервовая копія смартфона, і абярыце файл info.xml.
Указанне шляху да рэзервовай копіі:
У наступным акне праграма прапануе абраць тыпы артэфактаў, якія неабходна знайсці. Пасля запуску сканавання перайдзіце ва ўкладку Дыспетчар задач і клікніце кнопку Configure task, так як праграма чакае ўводу пароля для расшыфроўкі зашыфраванай рэзервовай копіі.
кнопка Configure task:
Пасля расшыфроўкі рэзервовай копіі Belkasoft Evidence Center папросіць паўторна ўказаць тыпы артэфактаў, якія неабходна атрымаць. Пасля заканчэння аналізу інфармацыю аб вынятых артэфактах можна прагледзець ва ўкладках Case Explorer и агляд .
Вынікі аналізу рэзервовай копіі Huawei Honor 20 Pro:
Аналіз рэзервовай копіі HiSuite з дапамогай праграмы "Мабільны Крыміналіст Эксперт"
Іншая крыміналістычная праграма, з дапамогай якой можна атрымаць дадзеныя з рэзервовай копіі HiSuite, - «Мабільны Крыміналіст Эксперт».
Каб апрацаваць дадзеныя, якія знаходзяцца ў рэзервовай копіі HiSuite, клікніце на опцыю Імпарт рэзервовых копій у галоўным акне праграмы.
Фрагмент галоўнага акна праграмы "Мабільны Крыміналіст Эксперт":
Або ў раздзеле Імпарт абярыце тып імпартаваных дадзеных Рэзервовая копія Huawei:
У якое адкрылася акне пазначце шлях да файла info.xml. Пры старце працэдуры вымання з'явіцца акно, у якім будзе прапанавана або ўвесці вядомы пароль для расшыфроўкі рэзервовай копіі HiSuite, або прымяніць прыладу кампаніі Passware, каб паспрабаваць падабраць гэты пароль, калі ён невядомы:
Вынікам аналізу рэзервовай копіі будзе акно праграмы "Мабільны Крыміналіст Эксперт", у якім паказаны тыпы вынятых артэфактаў: званкі, кантакты, паведамленні, файлы, стужка падзей, дадзеныя прыкладанняў. Звярніце ўвагу на колькасць дадзеных, вынятых з розных прыкладанняў гэтай крыміналістычнай праграмай. Ён проста велізарны!
Спіс вынятых тыпаў дадзеных з рэзервовай копіі HiSuite у праграме «Мабільны Крыміналіст Эксперт»:
Расшыфроўка рэзервовых копій HiSuite
Што ж рабіць, калі ў вас няма гэтых выдатных праграм? У гэтым выпадку вам дапаможа Python-скіпт, распрацаваны і падтрымліваемы Франчэска Пікасо (Francesco Picasso), супрацоўнікам Reality Net System Solutions. Гэты скрыпт вы можаце знайсці на GitHub, а яго больш падрабязнае апісанне - у артыкуле "Huawei backup decryptor".
У далейшым расшыфраваная рэзервовая копія HiSuite можа быць імпартаваная і прааналізаваная з дапамогай класічных крыміналістычных утыліт (напрыклад, Ускрыццё) або ўручную.
Высновы
Такім чынам, выкарыстоўваючы ўтыліту рэзервовага капіявання HiSuite, са смартфонаў Huawei можна атрымаць на парадак больш дадзеных, чым пры выманні дадзеных з гэтых жа прылад з выкарыстаннем утыліты ADB. Нягледзячы на вялікую колькасць утыліт для працы з мабільнымі тэлефонамі, Belkasoft Evidence Center і «Мабільны Крыміналіст Эксперт» - адны з нямногіх крыміналістычных праграм, якія падтрымліваюць выманне і аналіз рэзервовых копій HiSuite.