Ĉerpi datumojn de Android-aparatoj fariĝas pli malfacila ĉiutage - foje eĉ ol de la iPhone. Igor Mikhailov, specialisto ĉe la Grupo-IB Komputila Krimmedicina Laboratorio, diras al vi kion fari se vi ne povas ĉerpi datumojn de via Android-poŝtelefono per normaj metodoj.
Antaŭ kelkaj jaroj, miaj kolegoj kaj mi diskutis pri tendencoj en la disvolviĝo de sekurecaj mekanismoj en Android-aparatoj kaj venis al la konkludo, ke venos la tempo, kiam ilia krimmedicina esploro fariĝos pli malfacila ol por iOS-aparatoj. Kaj hodiaŭ ni povas diri kun konfido, ke ĉi tiu tempo venis.
Mi lastatempe recenzis la Huawei Honor 20 Pro. Kion vi pensas, ke ni sukcesis ĉerpi el ĝia sekurkopio akirita per la ADB-ilaĵo? Nenio! La aparato estas plena de datumoj: alvokaj informoj, telefonlibro, SMS, tujmesaĝilo, retpoŝto, plurmediaj dosieroj ktp. Kaj vi ne povas eltiri ion el ĉi tio. Terura sento!
Kion fari en tia situacio? Bona solvo estas uzi proprajn rezervajn utilecojn (Mi PC Suite por Xiaomi-poŝtelefonoj, Samsung Smart Switch por Samsung, HiSuite por Huawei).
En ĉi tiu artikolo ni rigardos la kreadon kaj eltiron de datumoj de Huawei-poŝtelefonoj uzante la HiSuite-utilon kaj ilian postan analizon per Belkasoft Evidence Center.
Kiuj tipoj de datumoj estas inkluzivitaj en HiSuite-sekurkopioj?
La sekvaj specoj de datumoj estas inkluzivitaj en HiSuite-sekurkopioj:
- datumoj pri kontoj kaj pasvortoj (aŭ ĵetonoj)
- kontaktaj detaloj
- defioj
- Mesaĝoj SMS kaj MMS
- Retpoŝto
- plurmediaj dosieroj
- Datumbazo
- dokumentoj
- arkivoj
- aplikaj dosieroj (dosieroj kun etendoj.odex, tiel ankaŭ, Apk)
- informoj de aplikaĵoj (kiel Facebook, Google Drive, Google Photos, Google Mails, Google Maps, Instagram, WhatsApp, YouTube, ktp.)
Ni rigardu pli detale kiel tia sekurkopio estas kreita kaj kiel analizi ĝin per Belkasoft Evidence Center.
Sekurkopio de Huawei-poŝtelefono per HiSuite-ilaĵo
Por krei rezervan kopion kun propra ilo, vi devas elŝuti ĝin de la retejo kaj instali.
HiSuite elŝutpaĝo en Huawei-retejo:
Por parigi la aparaton kun komputilo, reĝimo HDB (Huawei Debug Bridge) estas uzata. Estas detalaj instrukcioj en la retejo de Huawei aŭ en la programo HiSuite mem pri kiel aktivigi HDB-reĝimon sur via poŝtelefono. Post aktivigo de HDB-reĝimo, lanĉu la HiSuite-aplikaĵon sur via poŝtelefono kaj enigu la kodon montritan en ĉi tiu aplikaĵo en la HiSuite-programon fenestron funkciantan en via komputilo.
Koda eniga fenestro en la labortabla versio de HiSuite:
Dum la rezerva procezo, oni petos vin enigi pasvorton, kiu estos uzata por protekti la datumojn ĉerpitaj el la memoro de la aparato. La kreita rezerva kopio situos laŭ la vojo C:/Uzantoj/%Uzantprofilo%/Dokumentoj/HiSuite/rezervo/.
Sekurkopio de inteligenta telefono Huawei Honor 20 Pro:
Analizante HiSuite-rezervon per Belkasoft Evidence Center
Analizi la rezultan sekurkopion uzante krei novan komercon. Tiam elektu kiel la datumfonto Poŝtelefono Bildo. En la menuo, kiu malfermiĝas, specifu la vojon al la dosierujo kie troviĝas la sekurkopio de la inteligenta telefono kaj elektu la dosieron info.xml.
Specifante la vojon al la sekurkopio:
En la sekva fenestro, la programo petos vin elekti la tipojn de artefaktoj, kiujn vi bezonas trovi. Post komenci la skanadon, iru al la langeto Taskministro kaj alklaku la butonon Agordi taskon, ĉar la programo atendas pasvorton por deĉifri la ĉifritan sekurkopion.
butono Agordi taskon:
Post malĉifri la sekurkopion, Belkasoft Evidence Center petos vin respecifi la specojn de artefaktoj kiuj devas esti eltiritaj. Post kiam la analizo estas kompletigita, informoj pri la ĉerpitaj artefaktoj povas esti viditaj en la langetoj Kaza Esploristo и Superrigardo .
Rezultoj de rezerva analizo de Huawei Honor 20 Pro:
Analizo de HiSuite-rezervo uzante la programon Mobile Forensic Expert
Alia krimmedicina programo, kiu povas esti uzata por ĉerpi datumojn de HiSuite-rezervo, estas .
Por prilabori datumojn konservitajn en HiSuite-rezervo, alklaku la opcion Importi sekurkopiojn en la ĉefa programo fenestro.
Fragmento de la ĉefa fenestro de la programo "Mobile Forensic Expert":
Aŭ en la sekcio Importi elektu la tipon de datumoj por importi Sekurkopio de Huawei:
En la fenestro kiu malfermiĝas, specifu la vojon al la dosiero info.xml. Kiam vi komencas la eltiran proceduron, aperos fenestro, en kiu oni petos vin aŭ enigi konatan pasvorton por deĉifri la sekurkopion de HiSuite, aŭ uzi la ilon Passware por provi diveni ĉi tiun pasvorton se ĝi estas nekonata:
La rezulto de la analizo de la rezerva kopio estos la programo-fenestro "Mobile Forensic Expert", kiu montras la tipojn de ĉerpitaj artefaktoj: alvokoj, kontaktoj, mesaĝoj, dosieroj, evento-fluo, aplikaĵaj datumoj. Atentu la kvanton da datumoj ĉerpitaj de diversaj aplikoj per ĉi tiu krimmedicina programo. Ĝi estas nur grandega!
Listo de ĉerpitaj datumtipoj de HiSuite-rezervo en la programo Mobile Forensic Expert:
Malĉifri HiSuite-sekurkopiojn
Kion fari se vi ne havas ĉi tiujn mirindajn programojn? En ĉi tiu kazo, Python-skripto ellaborita kaj prizorgata de Francesco Picasso, dungito de Reality Net System Solutions, helpos vin. Vi povas trovi ĉi tiun skripton ĉe , kaj ĝia pli detala priskribo estas en "Huawei rezerva malĉifrilo."
La deĉifrita HiSuite-rezervo tiam povas esti importita kaj analizita uzante klasikajn krimmedicinajn ilojn (ekz. ) aŭ permane.
trovoj
Tiel, uzante la sekurkopian ilon HiSuite, vi povas ĉerpi ordon de grandeco pli da datumoj de Huawei-poŝtelefonoj ol kiam ĉerpas datumojn de la samaj aparatoj uzante la ADB ilon. Malgraŭ la granda nombro da utilecoj por labori kun poŝtelefonoj, Belkasoft Evidence Center kaj Mobile Forensic Expert estas inter la malmultaj krimmedicinaj programoj kiuj subtenas la eltiron kaj analizon de HiSuite-sekurkopioj.
Fontoj
fonto: www.habr.com