Forenzní analýza záloh HiSuite

Získávání dat ze zařízení Android je každým dnem obtížnější – někdy dokonce obtížnějšínež z iPhonu. Igor Mikhailov, specialista na Group-IB Computer Forensics Laboratory, vám řekne, co dělat, pokud nemůžete extrahovat data ze smartphonu Android pomocí standardních metod.

Před několika lety jsme s kolegy diskutovali o trendech ve vývoji bezpečnostních mechanismů v zařízeních Android a dospěli jsme k závěru, že přijde doba, kdy bude jejich forenzní vyšetřování složitější než u zařízení s iOS. A dnes můžeme s jistotou říci, že tato doba nastala.

Nedávno jsem recenzoval Huawei Honor 20 Pro. Co si myslíte, že se nám podařilo vytěžit z jeho zálohy získané pomocí utility ADB? Nic! Zařízení je plné dat: informace o hovorech, telefonní seznam, SMS, rychlé zprávy, e-mail, multimediální soubory atd. A nic z toho nemůžete dostat ven. Strašný pocit!

Co v takové situaci dělat? Dobrým řešením je použití proprietárních zálohovacích utilit (Mi PC Suite pro smartphony Xiaomi, Samsung Smart Switch pro Samsung, HiSuite pro Huawei).

V tomto článku se podíváme na tvorbu a extrakci dat ze smartphonů Huawei pomocí utility HiSuite a jejich následnou analýzu pomocí Belkasoft Evidence Center.

Jaké typy dat jsou zahrnuty v zálohách HiSuite?

Zálohy HiSuite obsahují následující typy dat:

• údaje o účtech a heslech (nebo tokenech)
• kontakty
• výzvy
• SMS a MMS zprávy
• e-mailem
• multimediální soubory
• Databáze
• dokumentace
• archiv
• aplikační soubory (soubory s příponami.odex, .tak, . Apk)
• informace z aplikací (jako je Facebook, Disk Google, Fotky Google, Google Mails, Mapy Google, Instagram, WhatsApp, YouTube atd.)

Podívejme se podrobněji na to, jak taková záloha vzniká a jak ji analyzovat pomocí Belkasoft Evidence Center.

Zálohování smartphonu Huawei pomocí nástroje HiSuite

Chcete-li vytvořit záložní kopii pomocí proprietárního nástroje, musíte si ji stáhnout z webu Huawei a nainstalovat.

Stránka ke stažení HiSuite na webu Huawei:

Pro spárování zařízení s počítačem se používá režim HDB (Huawei Debug Bridge). Na webu Huawei nebo v samotném programu HiSuite je podrobný návod, jak na svém mobilním zařízení aktivovat režim HDB. Po aktivaci režimu HDB spusťte na svém mobilním zařízení aplikaci HiSuite a do okna programu HiSuite spuštěného na počítači zadejte kód zobrazený v této aplikaci.

Okno pro zadávání kódu v desktopové verzi HiSuite:

Během procesu zálohování budete požádáni o zadání hesla, které bude použito k ochraně dat extrahovaných z paměti zařízení. Vytvořená záložní kopie bude umístěna podél cesty C:/Users/%User profile%/Documents/HiSuite/backup/.

Záloha smartphonu Huawei Honor 20 Pro:

Analýza zálohy HiSuite pomocí Belkasoft Evidence Center

K analýze výsledné zálohy pomocí Evidenční centrum Belkasoft vytvořit nový podnik. Poté vyberte jako zdroj dat Mobilní obrázek. V nabídce, která se otevře, zadejte cestu k adresáři, kde se nachází záloha smartphonu, a vyberte soubor info.xml.

Zadání cesty k záloze:

V dalším okně vás program vyzve k výběru typů artefaktů, které potřebujete najít. Po spuštění skenování přejděte na kartu Správce úloh a klikněte na tlačítko Konfigurovat úkol, protože program očekává heslo k dešifrování zašifrované zálohy.

Tlačítko Konfigurovat úkol:

Po dešifrování zálohy vás Belkasoft Evidence Center požádá, abyste znovu specifikovali typy artefaktů, které je třeba extrahovat. Po dokončení analýzy lze na kartách zobrazit informace o extrahovaných artefaktech Průzkumník případu и O programu .

Výsledky analýzy zálohování Huawei Honor 20 Pro:

Analýza zálohy HiSuite pomocí programu Mobile Forensic Expert

Dalším forenzním programem, který lze použít k extrakci dat ze zálohy HiSuite, je "Mobilní forenzní expert".

Chcete-li zpracovat data uložená v záloze HiSuite, klikněte na možnost Import záloh v hlavním okně programu.

Fragment hlavního okna programu „Mobile Forensic Expert“:

Nebo v sekci Importovat vyberte typ importovaných dat Záloha Huawei:

V okně, které se otevře, zadejte cestu k souboru info.xml. Když spustíte proceduru extrakce, objeví se okno, ve kterém budete požádáni, abyste buď zadali známé heslo pro dešifrování zálohy HiSuite, nebo se pomocí nástroje Passware pokusili uhodnout toto heslo, pokud je neznámé:

Výsledkem analýzy záložní kopie bude okno programu „Mobile Forensic Expert“, které zobrazuje typy extrahovaných artefaktů: hovory, kontakty, zprávy, soubory, zdroj událostí, data aplikace. Věnujte pozornost množství dat extrahovaných z různých aplikací tímto forenzním programem. Je to prostě obrovské!

Seznam extrahovaných datových typů ze zálohy HiSuite v programu Mobile Forensic Expert:

Dešifrování záloh HiSuite

Co dělat, když tyto skvělé programy nemáte? V tomto případě vám pomůže skript Python vyvinutý a spravovaný Francescem Picassem, zaměstnancem Reality Net System Solutions. Tento skript najdete na GitHub, a jeho podrobnější popis je v článek "Zálohovací dešifrovač Huawei."

Dešifrovanou zálohu HiSuite lze poté importovat a analyzovat pomocí klasických forenzních nástrojů (např. Pitva) nebo ručně.

Závěry

Pomocí zálohovací utility HiSuite tak můžete ze smartphonů Huawei extrahovat řádově více dat než při extrakci dat ze stejných zařízení pomocí utility ADB. Navzdory velkému množství utilit pro práci s mobilními telefony patří Belkasoft Evidence Center a Mobile Forensic Expert mezi několik forenzních programů, které podporují extrakci a analýzu záloh HiSuite.

zdroje

1. Podle detektiva byly telefony Android hacknuty hůř než iPhony
2. Huawei Hi-Suite
3. Evidenční centrum Belkasoft
4. Mobilní forenzní expert
5. Kobackupdec
6. Huawei zálohovací dešifrovač
7. Pitva

Zdroj: www.habr.com