At udtrække data fra Android-enheder bliver sværere for hver dag – nogle gange endda vanskeligereend fra iPhone. Igor Mikhailov, specialist ved Group-IB Computer Forensics Laboratory, fortæller dig, hvad du skal gøre, hvis du ikke kan udtrække data fra din Android-smartphone ved hjælp af standardmetoder.
For flere år siden diskuterede mine kolleger og jeg tendenser i udviklingen af sikkerhedsmekanismer i Android-enheder og kom til den konklusion, at tiden ville komme, hvor deres retsmedicinske efterforskning ville blive sværere end for iOS-enheder. Og i dag kan vi med tillid sige, at denne tid er kommet.
Jeg har for nylig anmeldt Huawei Honor 20 Pro. Hvad tror du, vi formåede at udtrække fra dens sikkerhedskopi opnået ved hjælp af ADB-værktøjet? Ikke noget! Enheden er fuld af data: opkaldsoplysninger, telefonbog, SMS, instant messaging, e-mail, multimediefiler osv. Og du kan ikke få noget af det her ud. Forfærdelig følelse!
Hvad skal man gøre i sådan en situation? En god løsning er at bruge proprietære sikkerhedskopieringsværktøjer (Mi PC Suite til Xiaomi-smartphones, Samsung Smart Switch til Samsung, HiSuite til Huawei).
I denne artikel vil vi se på oprettelse og udtrækning af data fra Huawei-smartphones ved hjælp af HiSuite-værktøjet og deres efterfølgende analyse ved hjælp af Belkasoft Evidence Center.
Hvilke typer data er inkluderet i HiSuite-sikkerhedskopier?
Følgende typer data er inkluderet i HiSuite-sikkerhedskopier:
data om konti og adgangskoder (eller tokens)
Kontakter
udfordringer
SMS og MMS beskeder
e-mail
multimediefiler
Database
dokumenter
arkiv
applikationsfiler (filer med udvidelser.odex, .så, . Apk)
oplysninger fra applikationer (såsom Facebook, Google Drev, Google Fotos, Google Mails, Google Maps, Instagram, WhatsApp, YouTube osv.)
Lad os se mere detaljeret på, hvordan en sådan sikkerhedskopi oprettes, og hvordan man analyserer den ved hjælp af Belkasoft Evidence Center.
Sikkerhedskopiering af en Huawei-smartphone ved hjælp af HiSuite-værktøjet
For at oprette en sikkerhedskopi med et proprietært hjælpeprogram skal du downloade det fra webstedet Huawei og installere.
HiSuite downloadside på Huaweis websted:
For at parre enheden med en computer, bruges HDB-tilstand (Huawei Debug Bridge). Der er detaljerede instruktioner på Huaweis hjemmeside eller i selve HiSuite-programmet om, hvordan du aktiverer HDB-tilstand på din mobile enhed. Når du har aktiveret HDB-tilstand, skal du starte HiSuite-applikationen på din mobile enhed og indtaste koden, der vises i denne applikation, i HiSuite-programvinduet, der kører på din computer.
Kodeindtastningsvindue i desktopversionen af HiSuite:
Under backup-processen bliver du bedt om at indtaste en adgangskode, som vil blive brugt til at beskytte de data, der er udtrukket fra enhedens hukommelse. Den oprettede sikkerhedskopi vil blive placeret langs stien C:/Users/%User profile%/Documents/HiSuite/backup/.
Huawei Honor 20 Pro smartphone backup:
Analyse af en HiSuite-sikkerhedskopi ved hjælp af Belkasoft Evidence Center
For at analysere den resulterende backup ved hjælp af Belkasoft Evidence Center skabe en ny virksomhed. Vælg derefter som datakilde Mobil billede. I menuen, der åbnes, skal du angive stien til den mappe, hvor smartphone-sikkerhedskopien er placeret, og vælge filen info.xml.
Angivelse af stien til sikkerhedskopien:
I det næste vindue vil programmet bede dig om at vælge de typer artefakter, du skal finde. Når du har startet scanningen, skal du gå til fanen Task Manager og klik på knappen Konfigurer opgave, fordi programmet forventer en adgangskode til at dekryptere den krypterede sikkerhedskopi.
knap Konfigurer opgave:
Efter dekryptering af sikkerhedskopien vil Belkasoft Evidence Center bede dig om at genspecificere de typer artefakter, der skal udpakkes. Når analysen er afsluttet, kan oplysninger om de udtrukne artefakter ses på fanerne Case Explorer и Oversigt .
Huawei Honor 20 Pro backup analyseresultater:
Analyse af en HiSuite backup ved hjælp af programmet Mobile Forensic Expert
Et andet retsmedicinsk program, der kan bruges til at udtrække data fra en HiSuite-sikkerhedskopi er "Mobil retsmedicinsk ekspert".
For at behandle data, der er gemt i en HiSuite-sikkerhedskopi, skal du klikke på indstillingen Import af sikkerhedskopier i programmets hovedvindue.
Fragment af hovedvinduet i programmet "Mobile Forensic Expert":
Eller i afsnittet Import vælg typen af importerede data Huawei backup:
Angiv stien til filen i det vindue, der åbnes info.xml. Når du starter udtrækningsproceduren, vises et vindue, hvor du bliver bedt om enten at indtaste en kendt adgangskode for at dekryptere HiSuite-sikkerhedskopien eller bruge Passware-værktøjet til at forsøge at gætte denne adgangskode, hvis den er ukendt:
Resultatet af analysen af sikkerhedskopien vil være programvinduet "Mobile Forensic Expert", som viser typerne af udpakkede artefakter: opkald, kontakter, beskeder, filer, hændelsesfeed, applikationsdata. Vær opmærksom på mængden af data, der udvindes fra forskellige applikationer af dette retsmedicinske program. Det er bare kæmpe stort!
Liste over udtrukne datatyper fra HiSuite backup i Mobile Forensic Expert-programmet:
Dekryptering af HiSuite-sikkerhedskopier
Hvad skal du gøre, hvis du ikke har disse vidunderlige programmer? I dette tilfælde vil et Python-script udviklet og vedligeholdt af Francesco Picasso, en medarbejder hos Reality Net System Solutions, hjælpe dig. Du kan finde dette script på GitHub, og dens mere detaljerede beskrivelse er i artiklen "Huawei backup dekryptering."
Den dekrypterede HiSuite-sikkerhedskopi kan derefter importeres og analyseres ved hjælp af klassiske retsmedicinske værktøjer (f.eks. Obduktion) eller manuelt.
Fund
Ved hjælp af HiSuite backup-værktøjet kan du således udtrække en størrelsesorden flere data fra Huawei-smartphones, end når du udtrækker data fra de samme enheder ved hjælp af ADB-værktøjet. På trods af det store antal værktøjer til at arbejde med mobiltelefoner, er Belkasoft Evidence Center og Mobile Forensic Expert blandt de få retsmedicinske programmer, der understøtter udtrækning og analyse af HiSuite-sikkerhedskopier.