L'extracció de dades dels dispositius Android és cada dia més difícil, fins i tot de vegades que des de l'iPhone. Igor Mikhailov, especialista al Laboratori d'Informàtica Forense del Grup-IB, us indica què heu de fer si no podeu extreure dades del vostre telèfon intel·ligent Android mitjançant mètodes estàndard.
Fa uns quants anys, els meus col·legues i jo vam discutir les tendències en el desenvolupament de mecanismes de seguretat en dispositius Android i vam arribar a la conclusió que arribaria el moment en què la seva investigació forense seria més difícil que per als dispositius iOS. I avui podem dir amb confiança que aquest moment ha arribat.
Recentment vaig revisar el Huawei Honor 20 Pro. Què creus que hem aconseguit extreure de la seva còpia de seguretat obtinguda mitjançant la utilitat ADB? Res! El dispositiu està ple de dades: informació de trucades, agenda telefònica, SMS, missatgeria instantània, correu electrònic, fitxers multimèdia, etc. I no pots treure res d'això. Terrible sensació!
Què fer en una situació així? Una bona solució és utilitzar utilitats de còpia de seguretat pròpies (Mi PC Suite per a telèfons intel·ligents Xiaomi, Samsung Smart Switch per a Samsung, HiSuite per a Huawei).
En aquest article analitzarem la creació i extracció de dades dels telèfons intel·ligents Huawei mitjançant la utilitat HiSuite i la seva anàlisi posterior mitjançant Belkasoft Evidence Center.
Quins tipus de dades s'inclouen a les còpies de seguretat de HiSuite?
Els tipus de dades següents s'inclouen a les còpies de seguretat de HiSuite:
- dades sobre comptes i contrasenyes (o fitxes)
- dades de contacte
- desafiaments
- Missatges SMS i MMS
- correu electrònic
- fitxers multimèdia
- Base de dades
- documentació
- arxius
- fitxers d'aplicació (fitxers amb extensions.odex, .tan, Apk)
- informació d'aplicacions (com ara Facebook, Google Drive, Google Photos, Google Mails, Google Maps, Instagram, WhatsApp, YouTube, etc.)
Vegem amb més detall com es crea una còpia de seguretat i com analitzar-la mitjançant Belkasoft Evidence Center.
Còpia de seguretat d'un telèfon intel·ligent Huawei mitjançant la utilitat HiSuite
Per crear una còpia de seguretat amb una utilitat pròpia, cal que la descarregueu des del lloc web i instal·lar.
Pàgina de descàrrega de HiSuite al lloc web de Huawei:
Per vincular el dispositiu amb un ordinador, s'utilitza el mode HDB (Huawei Debug Bridge). Hi ha instruccions detallades al lloc web de Huawei o al mateix programa HiSuite sobre com activar el mode HDB al dispositiu mòbil. Després d'activar el mode HDB, inicieu l'aplicació HiSuite al vostre dispositiu mòbil i introduïu el codi que es mostra en aquesta aplicació a la finestra del programa HiSuite que s'executa a l'ordinador.
Finestra d'entrada de codi a la versió d'escriptori d'HiSuite:
Durant el procés de còpia de seguretat, se us demanarà que introduïu una contrasenya, que s'utilitzarà per protegir les dades extretes de la memòria del dispositiu. La còpia de seguretat creada es trobarà al llarg del camí C:/Usuaris/%Perfil d'usuari%/Documents/HiSuite/còpia de seguretat/.
Còpia de seguretat del telèfon intel·ligent Huawei Honor 20 Pro:
Analitzar una còpia de seguretat d'HiSuite mitjançant Belkasoft Evidence Center
Per analitzar la còpia de seguretat resultant utilitzant crear un nou negoci. A continuació, seleccioneu com a font de dades Imatge mòbil. Al menú que s'obre, especifiqueu la ruta al directori on es troba la còpia de seguretat del telèfon intel·ligent i seleccioneu el fitxer info.xml.
Especificació del camí a la còpia de seguretat:
A la finestra següent, el programa us demanarà que seleccioneu els tipus d'artefactes que necessiteu trobar. Després d'iniciar l'escaneig, aneu a la pestanya Cap de tasques i feu clic al botó Configura la tasca, perquè el programa espera una contrasenya per desxifrar la còpia de seguretat xifrada.
botó Configura la tasca:
Després de desxifrar la còpia de seguretat, Belkasoft Evidence Center us demanarà que torneu a especificar els tipus d'artefactes que cal extreure. Un cop finalitzada l'anàlisi, es pot veure informació sobre els artefactes extrets a les pestanyes Explorador de casos и Descripció .
Resultats de l'anàlisi de còpia de seguretat del Huawei Honor 20 Pro:
Anàlisi d'una còpia de seguretat de HiSuite mitjançant el programa Mobile Forensic Expert
Un altre programa forense que es pot utilitzar per extreure dades d'una còpia de seguretat de HiSuite és .
Per processar les dades emmagatzemades en una còpia de seguretat de HiSuite, feu clic a l'opció Importació de còpies de seguretat a la finestra principal del programa.
Fragment de la finestra principal del programa "Mobile Forensic Expert":
O a la secció Importa seleccioneu el tipus de dades a importar Còpia de seguretat de Huawei:
A la finestra que s'obre, especifiqueu la ruta del fitxer info.xml. Quan inicieu el procediment d'extracció, apareixerà una finestra en la qual se us demanarà que introduïu una contrasenya coneguda per desxifrar la còpia de seguretat de HiSuite, o bé utilitzeu l'eina Passware per intentar endevinar aquesta contrasenya si és desconeguda:
El resultat de l'anàlisi de la còpia de seguretat serà la finestra del programa "Mobile Forensic Expert", que mostra els tipus d'artefactes extrets: trucades, contactes, missatges, fitxers, feed d'esdeveniments, dades de l'aplicació. Preste atenció a la quantitat de dades extretes de diverses aplicacions per aquest programa forense. És simplement enorme!
Llista de tipus de dades extrets de la còpia de seguretat de HiSuite al programa Mobile Forensic Expert:
Desxifrant les còpies de seguretat de HiSuite
Què fer si no teniu aquests meravellosos programes? En aquest cas, us ajudarà un script Python desenvolupat i mantingut per Francesco Picasso, un empleat de Reality Net System Solutions. Podeu trobar aquest guió a , i la seva descripció més detallada es troba a "Desxifrador de còpia de seguretat de Huawei".
La còpia de seguretat de HiSuite desxifrada es pot importar i analitzar mitjançant les utilitats forenses clàssiques (p. ) o manualment.
Troballes
Així, amb la utilitat de còpia de seguretat HiSuite, podeu extreure un ordre de magnitud més de dades dels telèfons intel·ligents Huawei que quan extreu dades dels mateixos dispositius mitjançant la utilitat ADB. Malgrat la gran quantitat d'utilitats per treballar amb telèfons mòbils, Belkasoft Evidence Center i Mobile Forensic Expert es troben entre els pocs programes forenses que admeten l'extracció i anàlisi de còpies de seguretat de HiSuite.
Fonts
Font: www.habr.com