Ang pagkuha sa datos gikan sa mga Android device nahimong mas lisud matag adlaw - usahay bisan pa kaysa gikan sa iPhone. Igor Mikhailov, espesyalista sa Group-IB Computer Forensics Laboratory, nagsulti kanimo kung unsa ang buhaton kung dili nimo makuha ang data gikan sa imong Android smartphone gamit ang standard nga mga pamaagi.
Pipila ka tuig ang milabay, ang akong mga kauban ug ako naghisgot sa mga uso sa pagpalambo sa mga mekanismo sa seguridad sa mga Android device ug miabut sa konklusyon nga ang panahon moabut nga ang ilang forensic nga imbestigasyon mahimong mas lisud kay sa iOS device. Ug karon makaingon kita uban ang pagsalig nga kini nga panahon miabut na.
Bag-ohay lang akong gisusi ang Huawei Honor 20 Pro. Unsa sa imong hunahuna ang among nakuha gikan sa backup nga nakuha gamit ang ADB utility? Wala! Ang aparato puno sa datos: impormasyon sa pagtawag, libro sa telepono, SMS, instant messaging, email, mga file sa multimedia, ug uban pa. Ug dili nimo makuha ang bisan unsa niini. Grabe nga feeling!
Unsa ang buhaton sa ingon nga kahimtang? Ang usa ka maayong solusyon mao ang paggamit sa proprietary backup utilities (Mi PC Suite alang sa Xiaomi smartphones, Samsung Smart Switch alang sa Samsung, HiSuite alang sa Huawei).
Niini nga artikulo atong tan-awon ang paghimo ug pagkuha sa datos gikan sa Huawei smartphones gamit ang HiSuite utility ug ang ilang sunod nga pagtuki gamit ang Belkasoft Evidence Center.
Unsa nga mga matang sa datos ang gilakip sa mga backup sa HiSuite?
Ang mosunod nga mga matang sa data gilakip sa HiSuite backups:
- datos bahin sa mga account ug password (o mga token)
- mga detalye sa pagkontak
- mga hagit
- Mga mensahe sa SMS ug MMS
- N D Β»ΓΞΌΓΒΊΓ, A β¬ ΓΒΎΓΒ½ΓΒ½Γ Β° N β‘ n, D Β° ΓΒΏΓΒΎΓ
- multimedia nga mga file
- Database
- dokumento
- mga archive
- mga file sa aplikasyon (mga file nga adunay mga extension.odex, .so, .apk)
- impormasyon gikan sa mga aplikasyon (sama sa Facebook, Google Drive, Google Photos, Google Mails, Google Maps, Instagram, WhatsApp, YouTube, ug uban pa)
Atong tan-awon ang mas detalyado kung giunsa paghimo ang ingon nga backup ug kung giunsa kini pag-analisar gamit ang Belkasoft Evidence Center.
Pag-back up sa usa ka Huawei smartphone gamit ang HiSuite utility
Aron makahimo og backup nga kopya nga adunay proprietary utility, kinahanglan nimo nga i-download kini gikan sa website ug instalar.
HiSuite download page sa Huawei website:
Aron ipares ang device sa computer, HDB (Huawei Debug Bridge) mode ang gigamit. Adunay mga detalyado nga panudlo sa website sa Huawei o sa programa mismo sa HiSuite kung giunsa ang pag-aktibo sa HDB mode sa imong mobile device. Human ma-activate ang HDB mode, ilunsad ang HiSuite application sa imong mobile device ug isulod ang code nga gipakita niini nga application ngadto sa HiSuite program window nga nagdagan sa imong computer.
Code entry window sa desktop nga bersyon sa HiSuite:
Atol sa proseso sa pag-backup, hangyoon ka sa pagsulod sa usa ka password, nga gamiton aron mapanalipdan ang datos nga gikuha gikan sa memorya sa device. Ang gihimo nga backup nga kopya mahimutang sa agianan C:/Users/%User profile%/Documents/HiSuite/backup/.
Huawei Honor 20 Pro smartphone backup:
Pag-analisar sa HiSuite backup gamit ang Belkasoft Evidence Center
Aron analisa ang resulta nga backup gamit ang paghimo og bag-ong negosyo. Unya pagpili ingon nga tinubdan sa datos Mobile Image. Sa menu nga magbukas, ipiho ang agianan sa direktoryo diin nahimutang ang backup sa smartphone ug pilia ang file info.xml.
Pagtino sa dalan sa backup:
Sa sunod nga bintana, ang programa mag-aghat kanimo sa pagpili sa mga tipo sa artifact nga kinahanglan nimo pangitaon. Human magsugod sa pag-scan, adto sa tab Task Manager ug i-klik ang buton I-configure ang buluhaton, tungod kay ang programa nagpaabut sa usa ka password aron ma-decrypt ang gi-encrypt nga backup.
button I-configure ang buluhaton:
Human sa pag-decrypting sa backup, ang Belkasoft Evidence Center mohangyo kanimo sa pagtino pag-usab sa mga matang sa mga artifact nga kinahanglan nga makuha. Pagkahuman sa pag-analisar, ang kasayuran bahin sa mga nakuha nga artifact mahimong makita sa mga tab Kaso Explorer ΠΈ Kinatibuk-ang Pagpasabut .
Huawei Honor 20 Pro backup nga mga resulta sa pagtuki:
Pagtuki sa usa ka HiSuite backup gamit ang Mobile Forensic Expert nga programa
Ang laing forensic nga programa nga mahimong gamiton sa pagkuha sa data gikan sa usa ka HiSuite backup mao ang .
Aron maproseso ang datos nga gitipigan sa HiSuite backup, i-klik ang opsyon Pag-import sa mga backup sa main window sa programa.
Tipik sa main window sa "Mobile Forensic Expert" nga programa:
O sa seksyon Pag-import pilia ang tipo sa gi-import nga datos Pag-backup sa Huawei:
Sa bintana nga nagbukas, ipiho ang agianan sa file info.xml. Kung sugdan nimo ang pamaagi sa pagkuha, usa ka bintana ang motungha diin hangyoon ka nga mosulod sa nahibal-an nga password aron ma-decrypt ang backup sa HiSuite, o gamiton ang tool sa Passware aron pagsulay sa pagtag-an niini nga password kung wala kini nahibal-an:
Ang resulta sa pag-analisar sa backup nga kopya mao ang "Mobile Forensic Expert" nga bintana sa programa, nga nagpakita sa mga matang sa gikuha nga mga artifact: mga tawag, mga kontak, mga mensahe, mga file, feed sa panghitabo, data sa aplikasyon. Hatagi'g pagtagad ang gidaghanon sa datos nga nakuha gikan sa lainlaing mga aplikasyon pinaagi niining forensic nga programa. Dako ra kaayo!
Listahan sa gikuha nga mga tipo sa datos gikan sa HiSuite backup sa Mobile Forensic Expert nga programa:
Pag-decrypt sa mga backup sa HiSuite
Unsa ang buhaton kung wala ka niining nindot nga mga programa? Sa kini nga kaso, usa ka script sa Python nga gihimo ug gipadayon ni Francesco Picasso, usa ka empleyado sa Reality Net System Solutions, makatabang kanimo. Makita nimo kini nga script sa , ug ang mas detalyado nga paghulagway niini anaa sa "Huawei backup decryptor."
Ang gi-decrypted nga HiSuite backup mahimo unya nga i-import ug analisahon gamit ang classic forensic utilities (eg. ) o manwal.
kaplag
Sa ingon, gamit ang HiSuite backup utility, mahimo nimong makuha ang usa ka order sa kadako nga daghang datos gikan sa mga smartphone sa Huawei kaysa sa pagkuha sa datos gikan sa parehas nga mga aparato gamit ang ADB utility. Bisan pa sa daghang gidaghanon sa mga utilities alang sa pagtrabaho sa mga mobile phone, ang Belkasoft Evidence Center ug Mobile Forensic Expert usa sa pipila nga mga programa sa forensic nga nagsuporta sa pagkuha ug pagtuki sa mga backup sa HiSuite.
Mga tinubdan
Source: www.habr.com