ProHoster > Blog > administración > Análisis forense de copias de seguridad de HiSuite

Análisis forense de copias de seguridad de HiSuite

Análisis forense de copias de seguridad de HiSuite

Extraer datos de dispositivos Android es cada día más difícil, a veces incluso mas dificilque desde el iPhone. Igor Mikhailov, especialista del Laboratorio de Informática Forense del Grupo IB, le indica qué hacer si no puede extraer datos de su teléfono inteligente Android utilizando métodos estándar.

Hace varios años, mis colegas y yo discutimos las tendencias en el desarrollo de mecanismos de seguridad en dispositivos Android y llegamos a la conclusión de que llegaría el momento en que su investigación forense sería más difícil que en los dispositivos iOS. Y hoy podemos decir con seguridad que ha llegado este momento.

Recientemente revisé el Huawei Honor 20 Pro. ¿Qué crees que logramos extraer de su copia de seguridad obtenida usando la utilidad ADB? ¡Nada! El dispositivo está lleno de datos: información de llamadas, agenda telefónica, SMS, mensajería instantánea, correo electrónico, archivos multimedia, etc. Y no puedes sacar nada de esto. ¡Sensación terrible!

¿Qué hacer en tal situación? Una buena solución es utilizar utilidades de copia de seguridad patentadas (Mi PC Suite para teléfonos inteligentes Xiaomi, Samsung Smart Switch para Samsung, HiSuite para Huawei).

En este artículo veremos la creación y extracción de datos de teléfonos inteligentes Huawei utilizando la utilidad HiSuite y su posterior análisis utilizando Belkasoft Evidence Center.

¿Qué tipos de datos se incluyen en las copias de seguridad de HiSuite?

Los siguientes tipos de datos se incluyen en las copias de seguridad de HiSuite:

  • datos sobre cuentas y contraseñas (o tokens)
  • contactos
  • desafíos
  • Mensajes SMS y MMS
  • e-mail
  • archivos multimedia
  • Base de datos
  • documentación
  • archivo
  • archivos de aplicación (archivos con extensiones.odex, .asi que, . Apk)
  • información de aplicaciones (como Facebook, Google Drive, Google Photos, Google Mails, Google Maps, Instagram, WhatsApp, YouTube, etc.)

Veamos con más detalle cómo se crea dicha copia de seguridad y cómo analizarla utilizando Belkasoft Evidence Center.

Hacer una copia de seguridad de un teléfono inteligente Huawei usando la utilidad HiSuite

Para crear una copia de seguridad con una utilidad patentada, debe descargarla del sitio web. Huawei e instalar.

Página de descarga de HiSuite en el sitio web de Huawei:

Análisis forense de copias de seguridad de HiSuite
Para emparejar el dispositivo con una computadora, se utiliza el modo HDB (Huawei Debug Bridge). Hay instrucciones detalladas en el sitio web de Huawei o en el propio programa HiSuite sobre cómo activar el modo HDB en su dispositivo móvil. Después de activar el modo HDB, inicie la aplicación HiSuite en su dispositivo móvil e ingrese el código que se muestra en esta aplicación en la ventana del programa HiSuite que se ejecuta en su computadora.

Ventana de entrada de código en la versión de escritorio de HiSuite:

Análisis forense de copias de seguridad de HiSuite
Durante el proceso de copia de seguridad, se le pedirá que ingrese una contraseña, que se utilizará para proteger los datos extraídos de la memoria del dispositivo. La copia de seguridad creada se ubicará a lo largo de la ruta C:/Usuarios/%Perfil de usuario%/Documentos/HiSuite/copia de seguridad/.

Copia de seguridad del teléfono inteligente Huawei Honor 20 Pro:

Análisis forense de copias de seguridad de HiSuite

Análisis de una copia de seguridad de HiSuite utilizando Belkasoft Evidence Center

Para analizar la copia de seguridad resultante usando Centro de pruebas de Belkasoft crear un nuevo negocio. Luego seleccione como fuente de datos Imagen móvil. En el menú que se abre, especifique la ruta al directorio donde se encuentra la copia de seguridad del teléfono inteligente y seleccione el archivo información.xml.

Especificación de la ruta a la copia de seguridad:

Análisis forense de copias de seguridad de HiSuite
En la siguiente ventana, el programa le pedirá que seleccione los tipos de artefactos que necesita encontrar. Después de iniciar el escaneo, vaya a la pestaña Administrador de tareas y haga clic en el botón Configurar tarea, porque el programa espera una contraseña para descifrar la copia de seguridad cifrada.

Botón Configurar tarea:

Análisis forense de copias de seguridad de HiSuite
Después de descifrar la copia de seguridad, Belkasoft Evidence Center le pedirá que vuelva a especificar los tipos de artefactos que deben extraerse. Una vez completado el análisis, la información sobre los artefactos extraídos se puede ver en las pestañas Explorador de casos и General .

Resultados del análisis de copia de seguridad de Huawei Honor 20 Pro:

Análisis forense de copias de seguridad de HiSuite

Análisis de una copia de seguridad HiSuite utilizando el programa Mobile Forensic Expert

Otro programa forense que se puede utilizar para extraer datos de una copia de seguridad de HiSuite es "Experto forense móvil".

Para procesar los datos almacenados en una copia de seguridad de HiSuite, haga clic en la opción Importar copias de seguridad en la ventana principal del programa.

Fragmento de la ventana principal del programa “Mobile Forensic Expert”:

Análisis forense de copias de seguridad de HiSuite
O en la sección Importar seleccione el tipo de datos a importar copia de seguridad de huawei:

Análisis forense de copias de seguridad de HiSuite
En la ventana que se abre, especifique la ruta al archivo. información.xml. Cuando inicie el procedimiento de extracción, aparecerá una ventana en la que se le pedirá que ingrese una contraseña conocida para descifrar la copia de seguridad de HiSuite o que use la herramienta Passware para intentar adivinar esta contraseña si es desconocida:

Análisis forense de copias de seguridad de HiSuite
El resultado del análisis de la copia de seguridad será la ventana del programa "Mobile Forensic Expert", que muestra los tipos de artefactos extraídos: llamadas, contactos, mensajes, archivos, feed de eventos, datos de aplicaciones. Preste atención a la cantidad de datos extraídos de varias aplicaciones por este programa forense. ¡Es simplemente enorme!

Lista de tipos de datos extraídos de la copia de seguridad HiSuite en el programa Mobile Forensic Expert:

Análisis forense de copias de seguridad de HiSuite

Descifrando copias de seguridad de HiSuite

¿Qué hacer si no tienes estos maravillosos programas? En este caso, le ayudará un script Python desarrollado y mantenido por Francesco Picasso, un empleado de Reality Net System Solutions. Puede encontrar este script en GitHub, y su descripción más detallada se encuentra en статье "Descifrador de copia de seguridad de Huawei".

La copia de seguridad descifrada de HiSuite se puede importar y analizar utilizando utilidades forenses clásicas (p. ej. Autopsia) o manualmente.

Hallazgos

Por lo tanto, al utilizar la utilidad de copia de seguridad HiSuite, puede extraer un orden de magnitud más de datos de los teléfonos inteligentes Huawei que cuando se extraen datos de los mismos dispositivos utilizando la utilidad ADB. A pesar de la gran cantidad de utilidades para trabajar con teléfonos móviles, Belkasoft Evidence Center y Mobile Forensic Expert se encuentran entre los pocos programas forenses que admiten la extracción y análisis de copias de seguridad de HiSuite.

fuentes

  1. Los teléfonos Android son más pirateados que los iPhone, según un detective
  2. Huawei HiSuite
  3. Centro de pruebas de Belkasoft
  4. Experto forense móvil
  5. Kobackupdec
  6. Descifrador de respaldo de Huawei
  7. Autopsia

Fuente: habr.com

Añadir un comentario