Das Extrahieren von Daten von Android-Geräten wird von Tag zu Tag schwieriger - manchmal sogar , als vom iPhone. Igor Mikhailov, Spezialist des Computerforensiklabors der Gruppe IB, erklärt Ihnen, was zu tun ist, wenn Sie mit Standardmethoden keine Daten von Ihrem Android-Smartphone extrahieren können.
Vor einigen Jahren diskutierten meine Kollegen und ich über Trends in der Entwicklung von Sicherheitsmechanismen für Android-Geräte und kamen zu dem Schluss, dass ihre forensische Analyse irgendwann schwieriger werden würde als bei iOS-Geräten. Und heute können wir voller Zuversicht sagen, dass diese Zeit gekommen ist.
Ich habe kürzlich das Huawei Honor 20 Pro getestet. Was konnten Sie Ihrer Meinung nach aus der mit dem ADB-Dienstprogramm erstellten Sicherungskopie extrahieren? Nichts! Das Gerät ist voller Daten: Anrufinformationen, Telefonbuch, SMS, Instant Messaging, E-Mail, Multimediadateien usw. Und Sie können nichts davon extrahieren. Schreckliches Gefühl!
Was tun in einer solchen Situation? Eine gute Lösung ist die Verwendung proprietärer Backup-Dienstprogramme (Mi PC Suite für Xiaomi-Smartphones, Samsung Smart Switch für Samsung, HiSuite für Huawei).
In diesem Artikel sehen wir uns an, wie man mit dem Dienstprogramm HiSuite Daten von Huawei-Smartphones erstellt und extrahiert und diese dann mit Belkasoft Evidence Center analysiert.
Welche Datentypen sind in HiSuite-Backups enthalten?
HiSuite-Backups umfassen die folgenden Datentypen:
- Daten über Konten und Passwörter (oder Token)
- Kontakte
- Herausforderungen
- SMS- und MMS-Nachrichten
- Multimediadateien
- Datenbank
- Dokumentation
- Archiv
- Anwendungsdateien (Dateien mit Erweiterungen.odex, .so, apk)
- Informationen aus Anwendungen (wie Facebook, Google Drive, Google Fotos, Google Mail, Google Maps, Instagram, WhatsApp, YouTube usw.)
Schauen wir uns genauer an, wie eine solche Sicherungskopie erstellt wird und wie man sie mit Belkasoft Evidence Center analysiert.
Erstellen Sie eine Sicherungskopie Ihres Huawei-Smartphones mit dem Dienstprogramm HiSuite
Um eine Sicherungskopie mit dem proprietären Dienstprogramm zu erstellen, müssen Sie es von der Website herunterladen und installieren.
HiSuite-Downloadseite auf der Huawei-Website:
Der HDB-Modus (Huawei Debug Bridge) wird verwendet, um das Gerät mit dem Computer zu koppeln. Detaillierte Anweisungen zum Aktivieren des HDB-Modus auf einem Mobilgerät finden Sie auf der Huawei-Website oder im HiSuite-Programm selbst. Starten Sie nach der Aktivierung des HDB-Modus die HiSuite-App auf Ihrem Mobilgerät und geben Sie den in der App angezeigten Code in das auf Ihrem Computer ausgeführte HiSuite-Programmfenster ein.
Code-Eingabefenster in der Desktop-Version von HiSuite:
Während des Sicherungsvorgangs werden Sie aufgefordert, ein Kennwort einzugeben, mit dem die aus dem Gerätespeicher extrahierten Daten geschützt werden. Das erstellte Backup befindet sich unter dem Pfad C:/Benutzer/%Benutzerprofil%/Dokumente/HiSuite/backup/.
Huawei Honor 20 Pro Smartphone-Backup:
HiSuite-Backup-Analyse mit Belkasoft Evidence Center
Um die erstellte Sicherungskopie zu analysieren, verwenden Sie ein neues Unternehmen gründen. Wählen Sie dann das Element als Datenquelle aus Mobiles Bild. Geben Sie im sich öffnenden Menü den Pfad zum Verzeichnis an, in dem sich die Sicherungskopie des Smartphones befindet, und wählen Sie die Datei aus info.xml.
Angabe des Pfades zum Backup:
Im nächsten Fenster fordert Sie das Programm auf, die Artefakttypen auszuwählen, die Sie finden möchten. Gehen Sie nach dem Start des Scans auf die Registerkarte Task Manager und klicken Sie auf die Schaltfläche Aufgabe konfigurieren, da das Programm auf die Eingabe eines Passworts wartet, um das verschlüsselte Backup zu entschlüsseln.
Taste Aufgabe konfigurieren:
Nach der Entschlüsselung des Backups werden Sie vom Belkasoft Evidence Center aufgefordert, die zu extrahierenden Artefakttypen erneut anzugeben. Sobald die Analyse abgeschlossen ist, können Informationen zu den extrahierten Artefakten in den Registerkarten angezeigt werden Case Explorer и Übersicht .
Ergebnisse der Backup-Analyse des Huawei Honor 20 Pro:
HiSuite-Backup-Analyse mit Mobile Forensic Expert
Ein weiteres forensisches Programm, das Daten aus einem HiSuite-Backup extrahieren kann, ist .
Um die im HiSuite-Backup enthaltenen Daten zu verarbeiten, klicken Sie auf die Option Backups importieren im Hauptprogrammfenster.
Fragment des Hauptfensters des Programms "Mobile Forensic Expert":
Oder im Abschnitt Importe Wählen Sie den zu importierenden Datentyp aus Huawei Backup:
Geben Sie im sich öffnenden Fenster den Pfad zur Datei an info.xml. Wenn der Extraktionsvorgang beginnt, wird ein Fenster angezeigt, in dem Sie aufgefordert werden, entweder ein bekanntes Kennwort einzugeben, um die HiSuite-Sicherungskopie zu entschlüsseln, oder ein Tool von Passware zu verwenden, um zu versuchen, dieses Kennwort zu erraten, wenn es unbekannt ist:
Das Ergebnis der Sicherungskopieanalyse ist ein Fenster des Programms Mobile Forensic Expert, das die Arten der extrahierten Artefakte anzeigt: Anrufe, Kontakte, Nachrichten, Dateien, Ereignis-Feed, Anwendungsdaten. Beachten Sie die Datenmenge, die dieses forensische Programm aus verschiedenen Anwendungen extrahiert. Es ist einfach riesig!
Liste der extrahierten Datentypen aus dem HiSuite-Backup in Mobile Forensic Expert:
Entschlüsseln von HiSuite-Backups
Was tun, wenn Sie diese wunderbaren Programme nicht haben? In diesem Fall können Sie ein Python-Skript verwenden, das von Francesco Picasso, einem Mitarbeiter von Reality Net System Solutions, entwickelt und gepflegt wird. Sie finden dieses Skript unter und eine ausführlichere Beschreibung finden Sie in „Huawei Backup-Entschlüsseler“.
Das entschlüsselte HiSuite-Backup kann dann importiert und mit klassischen forensischen Dienstprogrammen analysiert werden (z. B. ) oder manuell.
Befund
Somit können Sie mit dem HiSuite-Sicherungsdienstprogramm um ein Vielfaches mehr Daten von Huawei-Smartphones extrahieren, als wenn Sie Daten von denselben Geräten mit dem ADB-Dienstprogramm extrahieren. Trotz der großen Anzahl von Dienstprogrammen für die Arbeit mit Mobiltelefonen gehören Belkasoft Evidence Center und Mobile Forensic Expert zu den wenigen forensischen Programmen, die das Extrahieren und Analysieren von HiSuite-Backups unterstützen.
Quellen
Source: habr.com
