Estrazione di dati da i dispositi Android hè diventatu più difficiule ogni ghjornu - à volte ancu chè da l'iPhone. Igor Mikhailov, specialista in u Laboratoriu di Computer Forensics Group-IB, vi dice ciò chì fate s'ellu ùn pudete micca estrarre dati da u vostru smartphone Android cù metudi standard.
Parechji anni fà, i mo culleghi è aghju discututu i tendenzi in u sviluppu di i meccanismi di sicurezza in i dispositi Android è ghjuntu à a cunclusione chì u tempu venerà quandu a so investigazione forensica diventerà più difficiuli chè per i dispositi iOS. È oghje pudemu dì cun cunfidenza chì questu tempu hè ghjuntu.
Recentemente aghju rivedutu u Huawei Honor 20 Pro. Chì pensate chì avemu sappiutu estrae da a so copia di salvezza ottenuta cù l'utilità ADB? Nunda ! U dispusitivu hè chinu di dati: infurmazione chiamata, libru telefonu, SMS, messageria istantanea, email, schedarii multimedia, etc. È ùn pudete micca ottene qualcosa di questu. Sensu terribili !
Cosa da fà in una tale situazione? Una bona suluzione hè di utilizà utilità di salvezza proprietaria (Mi PC Suite per smartphones Xiaomi, Samsung Smart Switch per Samsung, HiSuite per Huawei).
In questu articulu avemu da guardà a creazione è l'estrazione di dati da i telefoni intelligenti Huawei utilizendu l'utilità HiSuite è a so analisi successiva cù Belkasoft Evidence Center.
Chì tipi di dati sò inclusi in i backup di HiSuite?
I seguenti tipi di dati sò inclusi in i backup di HiSuite:
- dati nantu à i cunti è e password (o tokens)
- contatti
- sfidi
- missaghji SMS è MMS
- i schedari multimediali
- basa di dati
- i documenti
- archivi
- i schedarii di l'applicazione (i schedari cù estensioni.odex, Tandu, .apk)
- infurmazione da l'applicazioni (cum'è Facebook, Google Drive, Google Photos, Google Mails, Google Maps, Instagram, WhatsApp, YouTube, etc.)
Fighjemu in più in detail cumu si crea una copia di salvezza è cumu analizà cù Belkasoft Evidence Center.
A copia di salvezza di un smartphone Huawei utilizendu l'utilità HiSuite
Per creà una copia di salvezza cù una utilità propietaria, avete bisognu di scaricà da u situ web è stallà.
Pagina di scaricamentu di HiSuite nantu à u situ web di Huawei:
Per accoppià u dispusitivu cù un urdinatore, u modu HDB (Huawei Debug Bridge) hè utilizatu. Ci sò struzzioni dettagliate nantu à u situ web di Huawei o in u prugramma HiSuite stessu nantu à cumu attivà u modu HDB in u vostru dispositivu mobile. Dopu avè attivatu u modu HDB, lanciate l'applicazione HiSuite in u vostru dispositivu mobile è inserite u codice affissatu in questa applicazione in a finestra di u prugramma HiSuite in esecuzione in u vostru urdinatore.
Finestra di ingressu di codice in a versione desktop di HiSuite:
Duranti u prucessu di salvezza, vi sarà dumandatu à entre una password, chì hà da esse usata à prutezzione di i dati estratti da a memoria di u dispusitivu. A copia di salvezza creata serà situata longu u percorsu C:/Users/%User profile%/Documenti/HiSuite/backup/.
Copia di salvezza di u smartphone Huawei Honor 20 Pro:
Analizà una copia di salvezza HiSuite cù Belkasoft Evidence Center
Per analizà a copia di salvezza resultanti usendu crià un novu affari. Allora selezziunate cum'è fonte di dati Image Mobile. In u menù chì si apre, specificate u percorsu à u repertoriu induve si trova a copia di salvezza di u smartphone è selezziunate u schedariu info.xml.
Specificà a strada di a copia di salvezza:
In a finestra dopu, u prugramma vi dumanda à selezziunà i tipi di artefatti chì vi tocca à truvà. Dopu avè principiatu a scansione, andate à a tabulazione Task Manager è cliccate u buttone Configurate u travagliu, perchè u prugramma aspetta una password per decriptà a copia di salvezza criptata.
buttone Configurate u travagliu:
Dopu avè decriptatu a copia di salvezza, Belkasoft Evidence Center vi dumandarà di rispecificà i tipi di artefatti chì deve esse estratti. Dopu chì l'analisi hè finita, l'infurmazioni nantu à l'artefatti estratti ponu esse vistu in e tabulazioni Case Explorer и Overview .
Risultati di l'analisi di salvezza di Huawei Honor 20 Pro:
Analisi di una copia di salvezza HiSuite cù u prugramma Mobile Forensic Expert
Un altru prugramma forensicu chì pò esse usatu per caccià e dati da una copia di salvezza HiSuite hè .
Per processà i dati guardati in una copia di salvezza HiSuite, cliccate nantu à l'opzione Importazione di salvezza in a finestra principale di u prugramma.
Frammentu di a finestra principale di u prugramma "Mobile Forensic Expert":
O in a sezione Impurtazione selezziunà u tipu di dati à impurtà copia di salvezza Huawei:
In a finestra chì si apre, specificate a strada di u schedariu info.xml. Quandu avete principiatu a prucedura di estrazione, apparirà una finestra in quale vi sarà dumandatu di inserisce una password cunnisciuta per decifrare a copia di salvezza HiSuite, o utilizate l'uttellu Passware per pruvà à invintà sta password se ùn hè micca cunnisciuta:
U risultatu di l'analisi di a copia di salvezza serà a finestra di u prugramma "Mobile Forensic Expert", chì mostra i tipi di artefatti estratti: chjama, cuntatti, messagi, schedari, feed di eventi, dati di l'applicazione. Prestate attenzione à a quantità di dati estratti da diverse applicazioni da stu prugramma forensicu. Hè solu enormu !
Lista di tipi di dati estratti da a copia di salvezza HiSuite in u prugramma Mobile Forensic Expert:
Decrypting HiSuite backups
Cosa da fà sè ùn avete micca sti prugrammi maravigliosi? In questu casu, un script Python sviluppatu è mantinutu da Francesco Picasso, un impiigatu di Reality Net System Solutions, vi aiuterà. Pudete truvà stu script à , è a so descrizzione più dettagliata hè in "Decryptor di salvezza di Huawei".
A copia di salvezza HiSuite decriptata pò esse impurtata è analizata cù l'utilità forensica classica (p.e. ) o manualmente.
scuperti
Cusì, aduprendu l'utilità di salvezza HiSuite, pudete estrattà un ordine di grandezza più dati da i telefoni intelligenti Huawei cà quandu estrae dati da i stessi dispositi cù l'utilità ADB. Malgradu u gran numaru di utilità per travaglià cù i telefunini, Belkasoft Evidence Center è Mobile Forensic Expert sò trà i pochi prugrammi forensici chì supportanu l'estrazione è l'analisi di salvezza HiSuite.
Fonti
Source: www.habr.com