Ekstrahiranje podataka sa Android uređaja svakim danom postaje sve teže - ponekad čak nego sa iPhone-a. Igor Mihajlov, specijalista Laboratorije za kompjutersku forenziku Group-IB, govori vam šta da radite ako ne možete da izdvojite podatke sa svog Android pametnog telefona standardnim metodama.
Prije nekoliko godina, moje kolege i ja razgovarali smo o trendovima u razvoju sigurnosnih mehanizama u Android uređajima i došli do zaključka da će doći vrijeme kada će njihova forenzička istraga postati teža nego za iOS uređaje. I danas možemo sa sigurnošću reći da je ovo vrijeme došlo.
Nedavno sam pregledao Huawei Honor 20 Pro. Šta mislite da smo uspeli da izdvojimo iz njegove rezervne kopije dobijene pomoću ADB uslužnog programa? Ništa! Uređaj je pun podataka: informacije o pozivima, telefonski imenik, SMS, instant poruke, e-pošta, multimedijalni fajlovi itd. I ne možete izvući ništa od ovoga. Užasan osjećaj!
Šta učiniti u takvoj situaciji? Dobro rješenje je korištenje vlastitih uslužnih programa za pravljenje rezervnih kopija (Mi PC Suite za Xiaomi pametne telefone, Samsung Smart Switch za Samsung, HiSuite za Huawei).
U ovom članku ćemo pogledati kreiranje i ekstrakciju podataka sa Huawei pametnih telefona pomoću uslužnog programa HiSuite i njihovu kasniju analizu pomoću Belkasoft Evidence Center.
Koje vrste podataka su uključene u HiSuite sigurnosne kopije?
Sljedeće vrste podataka uključene su u HiSuite sigurnosne kopije:
- podaci o računima i lozinkama (ili tokenima)
- kontakti
- izazovi
- SMS i MMS poruke
- i-mejl
- multimedijalne datoteke
- Baza podataka
- dokumenata
- arhive
- datoteke aplikacija (datoteke sa ekstenzijama.odex, .so, .apk)
- informacije iz aplikacija (kao što su Facebook, Google Drive, Google Photos, Google Mails, Google Maps, Instagram, WhatsApp, YouTube, itd.)
Pogledajmo detaljnije kako se kreira takva sigurnosna kopija i kako je analizirati koristeći Belkasoft Evidence Center.
Izrada sigurnosne kopije Huawei pametnog telefona pomoću uslužnog programa HiSuite
Da biste napravili sigurnosnu kopiju pomoću vlasničkog uslužnog programa, morate je preuzeti s web stranice i instalirati.
Stranica za preuzimanje HiSuite-a na Huawei web stranici:
Za uparivanje uređaja sa računarom koristi se režim HDB (Huawei Debug Bridge). Na Huawei web stranici ili u samom programu HiSuite nalaze se detaljna uputstva o tome kako aktivirati HDB način rada na mobilnom uređaju. Nakon aktiviranja HDB režima, pokrenite aplikaciju HiSuite na svom mobilnom uređaju i unesite kod prikazan u ovoj aplikaciji u prozor programa HiSuite koji radi na vašem računaru.
Prozor za unos koda u desktop verziji HiSuite-a:
Tokom procesa sigurnosne kopije, od vas će se tražiti da unesete lozinku, koja će se koristiti za zaštitu podataka ekstrahiranih iz memorije uređaja. Kreirana rezervna kopija će se nalaziti duž putanje C:/Korisnici/%Korisnički profil%/Dokumenti/HiSuite/backup/.
Sigurnosna kopija pametnog telefona Huawei Honor 20 Pro:
Analiza HiSuite sigurnosne kopije koristeći Belkasoft Evidence Center
Za analizu rezultirajuće sigurnosne kopije koristite kreirati novi posao. Zatim odaberite kao izvor podataka Mobile Image. U izborniku koji se otvori odredite putanju do direktorija u kojem se nalazi sigurnosna kopija pametnog telefona i odaberite datoteku info.xml.
Određivanje puta do sigurnosne kopije:
U sljedećem prozoru program će od vas zatražiti da odaberete tipove artefakata koje trebate pronaći. Nakon pokretanja skeniranja idite na karticu Task Manager i kliknite na dugme Konfigurišite zadatak, jer program očekuje lozinku za dešifriranje šifrirane sigurnosne kopije.
dugme Konfigurišite zadatak:
Nakon dešifriranja sigurnosne kopije, Belkasoft Evidence Center će od vas tražiti da ponovo odredite vrste artefakata koje treba izdvojiti. Nakon što je analiza završena, informacije o ekstrahovanim artefaktima mogu se vidjeti u karticama Case Explorer и pregled .
Rezultati analize rezervne kopije Huawei Honor 20 Pro:
Analiza HiSuite sigurnosne kopije pomoću programa Mobile Forensic Expert
Još jedan forenzički program koji se može koristiti za izdvajanje podataka iz HiSuite sigurnosne kopije je .
Za obradu podataka pohranjenih u HiSuite sigurnosnoj kopiji, kliknite na opciju Uvoz rezervnih kopija u glavnom prozoru programa.
Fragment glavnog prozora programa "Mobilni forenzički stručnjak":
Ili u sekciji Uvoz odaberite vrstu podataka za uvoz Huawei rezervna kopija:
U prozoru koji se otvori navedite putanju do datoteke info.xml. Kada pokrenete proceduru ekstrakcije, pojavit će se prozor u kojem će se od vas tražiti da ili unesete poznatu lozinku za dešifriranje HiSuite sigurnosne kopije ili koristite Passware alat da pokušate pogoditi ovu lozinku ako je nepoznata:
Rezultat analize sigurnosne kopije bit će prozor programa „Mobile Forensic Expert“, koji prikazuje vrste ekstrahovanih artefakata: pozivi, kontakti, poruke, datoteke, feed događaja, podaci aplikacije. Obratite pažnju na količinu podataka koje ovaj forenzički program izdvaja iz različitih aplikacija. Jednostavno je ogroman!
Lista ekstrahovanih tipova podataka iz HiSuite sigurnosne kopije u programu Mobile Forensic Expert:
Dešifriranje HiSuite sigurnosnih kopija
Šta učiniti ako nemate ove divne programe? U ovom slučaju, pomoći će vam Python skripta koju je razvio i održava Francesco Picasso, zaposlenik Reality Net System Solutions. Ovu skriptu možete pronaći na , a njegov detaljniji opis je u "Huawei backup decryptor."
Dešifrovana HiSuite rezervna kopija se zatim može uvesti i analizirati korišćenjem klasičnih forenzičkih uslužnih programa (npr. ) ili ručno.
nalazi
Stoga, koristeći HiSuite uslužni program za pravljenje rezervnih kopija, možete izdvojiti red veličine više podataka sa Huawei pametnih telefona nego kada izvlačite podatke sa istih uređaja pomoću ADB uslužnog programa. Unatoč velikom broju uslužnih programa za rad s mobilnim telefonima, Belkasoft Evidence Center i Mobile Forensic Expert su među rijetkim forenzičkim programima koji podržavaju ekstrakciju i analizu HiSuite sigurnosnih kopija.
Izvori
izvor: www.habr.com