Mae tynnu data o ddyfeisiau Android yn dod yn fwy anodd bob dydd - weithiau hyd yn oed nag o'r iPhone. Igor Mikhailov, arbenigwr yn Labordy Fforensig Cyfrifiadurol Group-IB, yn dweud wrthych beth i'w wneud os na allwch dynnu data o'ch ffôn clyfar Android gan ddefnyddio dulliau safonol.
Sawl blwyddyn yn ôl, bu fy nghydweithwyr a minnau'n trafod tueddiadau yn natblygiad mecanweithiau diogelwch mewn dyfeisiau Android a daeth i'r casgliad y byddai'r amser yn dod pan fyddai eu hymchwiliad fforensig yn dod yn anoddach nag ar gyfer dyfeisiau iOS. A heddiw gallwn ddweud yn hyderus bod yr amser hwn wedi dod.
Adolygais yr Huawei Honor 20 Pro yn ddiweddar. Beth ydych chi'n meddwl ein bod wedi llwyddo i dynnu o'i gopi wrth gefn a gafwyd gan ddefnyddio'r cyfleustodau ADB? Dim byd! Mae'r ddyfais yn llawn data: gwybodaeth galwadau, llyfr ffôn, SMS, negeseuon gwib, e-bost, ffeiliau amlgyfrwng, ac ati. Ac ni allwch gael dim o hyn allan. Teimlad ofnadwy!
Beth i'w wneud mewn sefyllfa o'r fath? Ateb da yw defnyddio cyfleustodau wrth gefn perchnogol (Mi PC Suite ar gyfer ffonau smart Xiaomi, Samsung Smart Switch ar gyfer Samsung, HiSuite ar gyfer Huawei).
Yn yr erthygl hon byddwn yn edrych ar greu ac echdynnu data o ffonau smart Huawei gan ddefnyddio cyfleustodau HiSuite a'u dadansoddiad dilynol gan ddefnyddio Canolfan Dystiolaeth Belkasoft.
Pa fathau o ddata sydd wedi'u cynnwys mewn copïau wrth gefn HiSuite?
Mae'r mathau canlynol o ddata wedi'u cynnwys mewn copïau wrth gefn HiSuite:
- data am gyfrifon a chyfrineiriau (neu docynnau)
- manylion cyswllt
- heriau
- Negeseuon SMS a MMS
- e-bost
- ffeiliau amlgyfrwng
- Cronfa Ddata
- dogfennau
- archifau
- ffeiliau cais (ffeiliau gydag estyniadau.odex, .felly, .apk)
- gwybodaeth o gymwysiadau (fel Facebook, Google Drive, Google Photos, Google Mails, Google Maps, Instagram, WhatsApp, YouTube, ac ati)
Gadewch i ni edrych yn fanylach ar sut mae copi wrth gefn o'r fath yn cael ei greu a sut i'w ddadansoddi gan ddefnyddio Canolfan Dystiolaeth Belkasoft.
Gwneud copi wrth gefn o ffôn clyfar Huawei gan ddefnyddio cyfleustodau HiSuite
I greu copi wrth gefn gyda chyfleustodau perchnogol, mae angen i chi ei lawrlwytho o'r wefan a gosod.
Tudalen lawrlwytho HiSuite ar wefan Huawei:
I baru'r ddyfais â chyfrifiadur, defnyddir modd HDB (Pont Debug Huawei). Mae cyfarwyddiadau manwl ar wefan Huawei neu yn y rhaglen HiSuite ei hun ar sut i actifadu modd HDB ar eich dyfais symudol. Ar ôl actifadu modd HDB, lansiwch y cymhwysiad HiSuite ar eich dyfais symudol a rhowch y cod a ddangosir yn y cymhwysiad hwn i ffenestr rhaglen HiSuite sy'n rhedeg ar eich cyfrifiadur.
Ffenestr mynediad cod yn fersiwn bwrdd gwaith HiSuite:
Yn ystod y broses wrth gefn, gofynnir i chi nodi cyfrinair, a fydd yn cael ei ddefnyddio i amddiffyn y data a dynnwyd o gof y ddyfais. Bydd y copi wrth gefn a grëwyd yn cael ei leoli ar hyd y llwybr C:/Defnyddwyr/% Proffil defnyddiwr%/Dogfennau/HiSuite/wrth gefn/.
Copi wrth gefn ffôn clyfar Huawei Honor 20 Pro:
Dadansoddi copi wrth gefn HiSuite gan ddefnyddio Canolfan Dystiolaeth Belkasoft
I ddadansoddi'r copi wrth gefn canlyniadol gan ddefnyddio creu busnes newydd. Yna dewiswch fel y ffynhonnell ddata Delwedd Symudol. Yn y ddewislen sy'n agor, nodwch y llwybr i'r cyfeiriadur lle mae copi wrth gefn y ffôn clyfar wedi'i leoli a dewiswch y ffeil gwybodaeth.xml.
Yn nodi'r llwybr i'r copi wrth gefn:
Yn y ffenestr nesaf, bydd y rhaglen yn eich annog i ddewis y mathau o arteffactau y mae angen i chi ddod o hyd iddynt. Ar ôl dechrau'r sgan, ewch i'r tab Dasgu Manager a chliciwch ar y botwm Ffurfweddu tasg, oherwydd bod y rhaglen yn disgwyl cyfrinair i ddadgryptio'r copi wrth gefn wedi'i amgryptio.
botwm Ffurfweddu tasg:
Ar ôl dadgryptio'r copi wrth gefn, bydd Canolfan Dystiolaeth Belkasoft yn gofyn ichi ail-fanylu'r mathau o arteffactau y mae angen eu hechdynnu. Ar ôl cwblhau'r dadansoddiad, gellir gweld gwybodaeth am yr arteffactau a dynnwyd yn y tabiau Archwiliwr Achos и Trosolwg .
Canlyniadau dadansoddiad wrth gefn Huawei Honor 20 Pro:
Dadansoddiad o gopi wrth gefn HiSuite gan ddefnyddio'r rhaglen Arbenigwr Fforensig Symudol
Rhaglen fforensig arall y gellir ei defnyddio i dynnu data o gopi wrth gefn HiSuite yw .
I brosesu data sydd wedi'i storio mewn copi wrth gefn HiSuite, cliciwch ar yr opsiwn Mewnforio copïau wrth gefn ym mhrif ffenestr y rhaglen.
Darn o brif ffenestr y rhaglen “Arbenigwr Fforensig Symudol”:
Neu yn yr adran mewnforion dewiswch y math o ddata i'w fewnforio Huawei wrth gefn:
Yn y ffenestr sy'n agor, nodwch y llwybr i'r ffeil gwybodaeth.xml. Pan ddechreuwch y weithdrefn echdynnu, bydd ffenestr yn ymddangos lle gofynnir i chi naill ai nodi cyfrinair hysbys i ddadgryptio copi wrth gefn HiSuite, neu ddefnyddio'r offeryn Passware i geisio dyfalu'r cyfrinair hwn os yw'n anhysbys:
Canlyniad y dadansoddiad o'r copi wrth gefn fydd ffenestr y rhaglen “Arbenigwr Fforensig Symudol”, sy'n dangos y mathau o arteffactau a dynnwyd: galwadau, cysylltiadau, negeseuon, ffeiliau, porthiant digwyddiadau, data cais. Rhowch sylw i faint o ddata a dynnwyd o wahanol gymwysiadau gan y rhaglen fforensig hon. Mae'n enfawr!
Rhestr o fathau o ddata a dynnwyd o gopi wrth gefn HiSuite yn y rhaglen Arbenigwr Fforensig Symudol:
Dadgryptio copïau wrth gefn HiSuite
Beth i'w wneud os nad oes gennych y rhaglenni gwych hyn? Yn yr achos hwn, bydd sgript Python a ddatblygwyd ac a gynhelir gan Francesco Picasso, un o weithwyr Reality Net System Solutions, yn eich helpu chi. Gallwch ddod o hyd i'r sgript hon yn , ac y mae ei ddisgrifiad manylach yn msgstr "Dadgryptio wrth gefn Huawei."
Yna gellir mewnforio a dadansoddi'r copi wrth gefn HiSuite sydd wedi'i ddadgryptio gan ddefnyddio cyfleustodau fforensig clasurol (e.e. ) neu â llaw.
Canfyddiadau
Felly, gan ddefnyddio cyfleustodau wrth gefn HiSuite, gallwch dynnu trefn maint mwy o ddata o ffonau smart Huawei nag wrth echdynnu data o'r un dyfeisiau gan ddefnyddio'r cyfleustodau ADB. Er gwaethaf y nifer fawr o gyfleustodau ar gyfer gweithio gyda ffonau symudol, mae Canolfan Dystiolaeth Belkasoft ac Arbenigwr Fforensig Symudol ymhlith yr ychydig raglenni fforensig sy'n cefnogi echdynnu a dadansoddi copïau wrth gefn HiSuite.
Ffynonellau
Ffynhonnell: hab.com