Das Extrahieren von Daten von Android-Geräten wird von Tag zu Tag schwieriger – manchmal sogar schwierigerals vom iPhone. Igor Mikhailov, Spezialist am Group-IB Computer Forensics Laboratory, erklärt Ihnen, was zu tun ist, wenn Sie mit Standardmethoden keine Daten von Ihrem Android-Smartphone extrahieren können.
Vor einigen Jahren diskutierten meine Kollegen und ich über Trends in der Entwicklung von Sicherheitsmechanismen in Android-Geräten und kamen zu dem Schluss, dass die Zeit kommen würde, in der ihre forensische Untersuchung schwieriger werden würde als bei iOS-Geräten. Und heute können wir mit Zuversicht sagen, dass diese Zeit gekommen ist.
Ich habe kürzlich das Huawei Honor 20 Pro getestet. Was haben wir Ihrer Meinung nach aus dem mit dem ADB-Dienstprogramm erstellten Backup extrahieren können? Nichts! Das Gerät ist voller Daten: Anrufinformationen, Telefonbuch, SMS, Instant Messaging, E-Mail, Multimediadateien usw. Und Sie können nichts davon herausbekommen. Schreckliches Gefühl!
Was tun in einer solchen Situation? Eine gute Lösung ist die Verwendung proprietärer Backup-Dienstprogramme (Mi PC Suite für Xiaomi-Smartphones, Samsung Smart Switch für Samsung, HiSuite für Huawei).
In diesem Artikel betrachten wir die Erstellung und Extraktion von Daten von Huawei-Smartphones mithilfe des HiSuite-Dienstprogramms und deren anschließende Analyse mithilfe des Belkasoft Evidence Center.
Welche Datentypen sind in HiSuite-Backups enthalten?
Die folgenden Datentypen sind in HiSuite-Backups enthalten:
Daten über Konten und Passwörter (oder Tokens)
Kontakte
Herausforderungen
SMS- und MMS-Nachrichten
E-Mail
Multimediadateien
Datenbank
Dokumentation
Archiv
Anwendungsdateien (Dateien mit Erweiterungen. Odex, .so, apk)
Informationen aus Anwendungen (wie Facebook, Google Drive, Google Fotos, Google Mails, Google Maps, Instagram, WhatsApp, YouTube usw.)
Schauen wir uns genauer an, wie ein solches Backup erstellt wird und wie es mit dem Belkasoft Evidence Center analysiert wird.
Sichern eines Huawei-Smartphones mit dem HiSuite-Dienstprogramm
Um eine Sicherungskopie mit einem proprietären Dienstprogramm zu erstellen, müssen Sie es von der Website herunterladen Huawei und installieren.
HiSuite-Downloadseite auf der Huawei-Website:
Um das Gerät mit einem Computer zu koppeln, wird der HDB-Modus (Huawei Debug Bridge) verwendet. Auf der Huawei-Website oder im HiSuite-Programm selbst finden Sie detaillierte Anweisungen, wie Sie den HDB-Modus auf Ihrem Mobilgerät aktivieren. Nachdem Sie den HDB-Modus aktiviert haben, starten Sie die HiSuite-Anwendung auf Ihrem Mobilgerät und geben Sie den in dieser Anwendung angezeigten Code in das HiSuite-Programmfenster ein, das auf Ihrem Computer ausgeführt wird.
Code-Eingabefenster in der Desktop-Version von HiSuite:
Während des Sicherungsvorgangs werden Sie aufgefordert, ein Passwort einzugeben, das zum Schutz der aus dem Gerätespeicher extrahierten Daten verwendet wird. Die erstellte Sicherungskopie befindet sich entlang des Pfads C:/Benutzer/%Benutzerprofil%/Dokumente/HiSuite/backup/.
Huawei Honor 20 Pro Smartphone-Backup:
Analyse eines HiSuite-Backups mit Belkasoft Evidence Center
Um das resultierende Backup zu analysieren, verwenden Sie Belkasoft Evidence Center ein neues Unternehmen gründen. Wählen Sie dann als Datenquelle aus Mobiles Bild. Geben Sie im sich öffnenden Menü den Pfad zum Verzeichnis an, in dem sich das Smartphone-Backup befindet, und wählen Sie die Datei aus info.xml.
Angabe des Pfades zum Backup:
Im nächsten Fenster werden Sie vom Programm aufgefordert, die Arten von Artefakten auszuwählen, die Sie finden möchten. Gehen Sie nach dem Start des Scans zur Registerkarte Task Manager und klicken Sie auf die Schaltfläche Aufgabe konfigurieren, da das Programm zum Entschlüsseln des verschlüsselten Backups ein Passwort erwartet.
Taste Aufgabe konfigurieren:
Nach der Entschlüsselung des Backups werden Sie vom Belkasoft Evidence Center aufgefordert, die Arten von Artefakten, die extrahiert werden müssen, erneut anzugeben. Nach Abschluss der Analyse können auf den Registerkarten Informationen zu den extrahierten Artefakten angezeigt werden Fall-Explorer и Überblick .
Ergebnisse der Backup-Analyse des Huawei Honor 20 Pro:
Analyse eines HiSuite-Backups mit dem Programm Mobile Forensic Expert
Ein weiteres forensisches Programm, mit dem Daten aus einem HiSuite-Backup extrahiert werden können, ist „Experte für mobile Forensik“.
Um in einem HiSuite-Backup gespeicherte Daten zu verarbeiten, klicken Sie auf die Option Backups importieren im Hauptprogrammfenster.
Fragment des Hauptfensters des Programms „Mobile Forensic Expert“:
Oder in der Rubrik Importe Wählen Sie den Typ der zu importierenden Daten aus Huawei-Backup:
Geben Sie im sich öffnenden Fenster den Pfad zur Datei an info.xml. Wenn Sie den Extraktionsvorgang starten, erscheint ein Fenster, in dem Sie aufgefordert werden, entweder ein bekanntes Passwort einzugeben, um das HiSuite-Backup zu entschlüsseln, oder das Passware-Tool zu verwenden, um zu versuchen, dieses Passwort zu erraten, wenn es unbekannt ist:
Das Ergebnis der Analyse der Sicherungskopie ist das Programmfenster „Mobile Forensic Expert“, das die Arten der extrahierten Artefakte anzeigt: Anrufe, Kontakte, Nachrichten, Dateien, Ereignis-Feed, Anwendungsdaten. Achten Sie auf die Datenmenge, die dieses forensische Programm aus verschiedenen Anwendungen extrahiert. Es ist einfach riesig!
Liste der extrahierten Datentypen aus HiSuite-Backup im Mobile Forensic Expert-Programm:
HiSuite-Backups entschlüsseln
Was tun, wenn Sie diese wunderbaren Programme nicht haben? In diesem Fall hilft Ihnen ein Python-Skript, das von Francesco Picasso, einem Mitarbeiter von Reality Net System Solutions, entwickelt und gepflegt wird. Dieses Skript finden Sie unter GitHub, und eine ausführlichere Beschreibung finden Sie in Artikel „Huawei Backup-Entschlüsseler.“
Das entschlüsselte HiSuite-Backup kann dann mit klassischen forensischen Dienstprogrammen (z. B. Autopsie) oder manuell.
Befund
Somit können Sie mit dem HiSuite-Backup-Dienstprogramm eine Größenordnung mehr Daten von Huawei-Smartphones extrahieren als wenn Sie Daten von denselben Geräten mit dem ADB-Dienstprogramm extrahieren. Trotz der großen Anzahl an Dienstprogrammen für die Arbeit mit Mobiltelefonen gehören Belkasoft Evidence Center und Mobile Forensic Expert zu den wenigen forensischen Programmen, die die Extraktion und Analyse von HiSuite-Backups unterstützen.