Εγκληματολογική ανάλυση αντιγράφων ασφαλείας HiSuite

Η εξαγωγή δεδομένων από συσκευές Android γίνεται όλο και πιο δύσκολη κάθε μέρα - μερικές φορές ακόμη και πιο δύσκολοπαρά από το iPhone. Igor Mikhailov, ειδικός στο Group-IB Computer Forensics Laboratory, σας λέει τι πρέπει να κάνετε εάν δεν μπορείτε να εξαγάγετε δεδομένα από το smartphone Android χρησιμοποιώντας τυπικές μεθόδους.

Πριν από αρκετά χρόνια, οι συνάδελφοί μου και εγώ συζητήσαμε τις τάσεις στην ανάπτυξη μηχανισμών ασφαλείας σε συσκευές Android και καταλήξαμε στο συμπέρασμα ότι θα ερχόταν η στιγμή που η εγκληματολογική τους έρευνα θα γινόταν πιο δύσκολη από ό,τι για τις συσκευές iOS. Και σήμερα μπορούμε να πούμε με σιγουριά ότι αυτή η ώρα έφτασε.

Πρόσφατα εξέτασα το Huawei Honor 20 Pro. Τι πιστεύετε ότι καταφέραμε να εξαγάγουμε από το αντίγραφο ασφαλείας του που ελήφθη χρησιμοποιώντας το βοηθητικό πρόγραμμα ADB; Τίποτα! Η συσκευή είναι γεμάτη δεδομένα: πληροφορίες κλήσεων, τηλεφωνικός κατάλογος, SMS, ανταλλαγή άμεσων μηνυμάτων, email, αρχεία πολυμέσων κ.λπ. Και δεν μπορείς να βγάλεις τίποτα από όλα αυτά. Τρομερό συναίσθημα!

Τι να κάνετε σε μια τέτοια κατάσταση; Μια καλή λύση είναι να χρησιμοποιήσετε ιδιόκτητα βοηθητικά προγράμματα δημιουργίας αντιγράφων ασφαλείας (Mi PC Suite για smartphone Xiaomi, Samsung Smart Switch για Samsung, HiSuite για Huawei).

Σε αυτό το άρθρο θα εξετάσουμε τη δημιουργία και την εξαγωγή δεδομένων από smartphone της Huawei χρησιμοποιώντας το βοηθητικό πρόγραμμα HiSuite και την επακόλουθη ανάλυσή τους χρησιμοποιώντας το Belkasoft Evidence Center.

Ποιοι τύποι δεδομένων περιλαμβάνονται στα αντίγραφα ασφαλείας του HiSuite;

Οι ακόλουθοι τύποι δεδομένων περιλαμβάνονται στα αντίγραφα ασφαλείας του HiSuite:

• δεδομένα σχετικά με λογαριασμούς και κωδικούς πρόσβασης (ή διακριτικά)
• контакты
• προκλήσεις
• Μηνύματα SMS και MMS
• e-mail
• αρχεία πολυμέσων
• Βάση δεδομένων
• τεκμηρίωσης
• αρχεία
• αρχεία εφαρμογών (αρχεία με επεκτάσεις.odex, .Έτσι, .apk)
• πληροφορίες από εφαρμογές (όπως Facebook, Google Drive, Google Photos, Google Mails, Google Maps, Instagram, WhatsApp, YouTube κ.λπ.)

Ας δούμε λεπτομερέστερα πώς δημιουργείται ένα τέτοιο αντίγραφο ασφαλείας και πώς να το αναλύσουμε χρησιμοποιώντας το Belkasoft Evidence Center.

Δημιουργία αντιγράφων ασφαλείας ενός smartphone Huawei χρησιμοποιώντας το βοηθητικό πρόγραμμα HiSuite

Για να δημιουργήσετε ένα αντίγραφο ασφαλείας με ένα αποκλειστικό βοηθητικό πρόγραμμα, πρέπει να το κατεβάσετε από τον ιστότοπο Huawei και εγκαταστήστε.

Σελίδα λήψης HiSuite στον ιστότοπο της Huawei:

Για τη σύζευξη της συσκευής με έναν υπολογιστή, χρησιμοποιείται η λειτουργία HDB (Huawei Debug Bridge). Υπάρχουν λεπτομερείς οδηγίες στον ιστότοπο της Huawei ή στο ίδιο το πρόγραμμα HiSuite σχετικά με τον τρόπο ενεργοποίησης της λειτουργίας HDB στην κινητή συσκευή σας. Αφού ενεργοποιήσετε τη λειτουργία HDB, εκκινήστε την εφαρμογή HiSuite στην κινητή συσκευή σας και εισαγάγετε τον κωδικό που εμφανίζεται σε αυτήν την εφαρμογή στο παράθυρο του προγράμματος HiSuite που εκτελείται στον υπολογιστή σας.

Παράθυρο εισαγωγής κώδικα στην έκδοση επιφάνειας εργασίας του HiSuite:

Κατά τη διαδικασία δημιουργίας αντιγράφων ασφαλείας, θα σας ζητηθεί να εισαγάγετε έναν κωδικό πρόσβασης, ο οποίος θα χρησιμοποιηθεί για την προστασία των δεδομένων που εξάγονται από τη μνήμη της συσκευής. Το αντίγραφο ασφαλείας που δημιουργήθηκε θα βρίσκεται κατά μήκος της διαδρομής C:/Users/%User profile%/Documents/HiSuite/backup/.

Αντίγραφο ασφαλείας smartphone Huawei Honor 20 Pro:

Ανάλυση ενός αντιγράφου ασφαλείας του HiSuite χρησιμοποιώντας το Belkasoft Evidence Center

Για να αναλύσετε το αντίγραφο ασφαλείας που προκύπτει χρησιμοποιώντας Belkasoft Evidence Center δημιουργήσετε μια νέα επιχείρηση. Στη συνέχεια, επιλέξτε ως πηγή δεδομένων Εικόνα για κινητό. Στο μενού που ανοίγει, καθορίστε τη διαδρομή προς τον κατάλογο όπου βρίσκεται το αντίγραφο ασφαλείας του smartphone και επιλέξτε το αρχείο info.xml.

Καθορισμός της διαδρομής προς το αντίγραφο ασφαλείας:

Στο επόμενο παράθυρο, το πρόγραμμα θα σας ζητήσει να επιλέξετε τους τύπους τεχνουργημάτων που πρέπει να βρείτε. Μετά την έναρξη της σάρωσης, μεταβείτε στην καρτέλα Task Manager και κάντε κλικ στο κουμπί Διαμόρφωση εργασίας, επειδή το πρόγραμμα αναμένει έναν κωδικό πρόσβασης για την αποκρυπτογράφηση του κρυπτογραφημένου αντιγράφου ασφαλείας.

κουμπί Διαμόρφωση εργασίας:

Μετά την αποκρυπτογράφηση του αντιγράφου ασφαλείας, το Belkasoft Evidence Center θα σας ζητήσει να προσδιορίσετε εκ νέου τους τύπους τεχνουργημάτων που πρέπει να εξαχθούν. Μετά την ολοκλήρωση της ανάλυσης, οι πληροφορίες σχετικά με τα εξαγόμενα αντικείμενα μπορούν να προβληθούν στις καρτέλες Case Explorer и Επισκόπηση .

Αποτελέσματα ανάλυσης αντιγράφων ασφαλείας Huawei Honor 20 Pro:

Ανάλυση ενός αντιγράφου ασφαλείας HiSuite με χρήση του προγράμματος Mobile Forensic Expert

Ένα άλλο εγκληματολογικό πρόγραμμα που μπορεί να χρησιμοποιηθεί για την εξαγωγή δεδομένων από ένα αντίγραφο ασφαλείας του HiSuite είναι "Κινητή Εγκληματολόγος".

Για να επεξεργαστείτε δεδομένα που είναι αποθηκευμένα σε αντίγραφο ασφαλείας του HiSuite, κάντε κλικ στην επιλογή Εισαγωγή αντιγράφων ασφαλείας στο κύριο παράθυρο του προγράμματος.

Τμήμα του κύριου παραθύρου του προγράμματος «Mobile Forensic Expert»:

Ή στην ενότητα Εισαγωγές επιλέξτε τον τύπο δεδομένων προς εισαγωγή Αντίγραφο ασφαλείας Huawei:

Στο παράθυρο που ανοίγει, καθορίστε τη διαδρομή προς το αρχείο info.xml. Όταν ξεκινάτε τη διαδικασία εξαγωγής, θα εμφανιστεί ένα παράθυρο στο οποίο θα σας ζητηθεί είτε να εισαγάγετε έναν γνωστό κωδικό πρόσβασης για να αποκρυπτογραφήσετε το αντίγραφο ασφαλείας του HiSuite ή να χρησιμοποιήσετε το εργαλείο Passware για να προσπαθήσετε να μαντέψετε αυτόν τον κωδικό πρόσβασης εάν είναι άγνωστος:

Το αποτέλεσμα της ανάλυσης του αντιγράφου ασφαλείας θα είναι το παράθυρο του προγράμματος "Mobile Forensic Expert", το οποίο δείχνει τους τύπους των εξαγόμενων αντικειμένων: κλήσεις, επαφές, μηνύματα, αρχεία, τροφοδοσία συμβάντων, δεδομένα εφαρμογής. Δώστε προσοχή στον όγκο των δεδομένων που εξάγονται από διάφορες εφαρμογές από αυτό το ιατροδικαστικό πρόγραμμα. Είναι απλά τεράστιο!

Λίστα τύπων δεδομένων που έχουν εξαχθεί από το αντίγραφο ασφαλείας του HiSuite στο πρόγραμμα Mobile Forensic Expert:

Αποκρυπτογράφηση αντιγράφων ασφαλείας HiSuite

Τι να κάνετε αν δεν έχετε αυτά τα υπέροχα προγράμματα; Σε αυτήν την περίπτωση, ένα σενάριο Python που αναπτύχθηκε και διατηρείται από τον Francesco Picasso, έναν υπάλληλο της Reality Net System Solutions, θα σας βοηθήσει. Μπορείτε να βρείτε αυτό το σενάριο στο GitHub, και η αναλυτικότερη περιγραφή του βρίσκεται στο άρθρο "Αποκρυπτογράφηση αντιγράφων ασφαλείας Huawei."

Το αποκρυπτογραφημένο αντίγραφο ασφαλείας του HiSuite μπορεί στη συνέχεια να εισαχθεί και να αναλυθεί χρησιμοποιώντας κλασικά βοηθητικά προγράμματα εγκληματολογίας (π.χ. Αυτοψία) ή χειροκίνητα.

Ευρήματα

Έτσι, χρησιμοποιώντας το βοηθητικό πρόγραμμα δημιουργίας αντιγράφων ασφαλείας HiSuite, μπορείτε να εξαγάγετε μια τάξη μεγέθους περισσότερα δεδομένα από smartphone της Huawei από ό,τι όταν εξάγετε δεδομένα από τις ίδιες συσκευές χρησιμοποιώντας το βοηθητικό πρόγραμμα ADB. Παρά τον μεγάλο αριθμό βοηθητικών προγραμμάτων για εργασία με κινητά τηλέφωνα, το Belkasoft Evidence Center και το Mobile Forensic Expert είναι από τα λίγα εγκληματολογικά προγράμματα που υποστηρίζουν την εξαγωγή και ανάλυση αντιγράφων ασφαλείας HiSuite.

πηγές

1. Τα τηλέφωνα Android παραβιάστηκαν πιο δυνατά από τα iPhone σύμφωνα με έναν ντετέκτιβ
2. Huawei Hi-Suite
3. Belkasoft Evidence Center
4. Κινητός Εγκληματολόγος
5. Kobackupdec
6. Εφεδρικός αποκρυπτογραφητής Huawei
7. Αυτοψία

Πηγή: www.habr.com