HiSuite'i varukoopiate kohtuekspertiisi analüüs

Andmete hankimine Android-seadmetest muutub iga päevaga keerulisemaks – mõnikord isegi keerulisemkui iPhone'ist. Igor Mihhailov, Group-IB arvutikohtuekspertiisi labori spetsialist, ütleb teile, mida teha, kui te ei saa Android-nutitelefonist standardmeetodite abil andmeid ekstraheerida.

Mitu aastat tagasi arutasime kolleegidega Android-seadmete turvamehhanismide arendamise suundumusi ja jõudsime järeldusele, et saabub aeg, mil nende kohtuekspertiisi uurimine muutub keerulisemaks kui iOS-seadmete puhul. Ja täna võime kindlalt öelda, et see aeg on käes.

Vaatasin hiljuti üle Huawei Honor 20 Pro. Mis teie arvates õnnestus meil ADB utiliidi abil saadud varukoopiast välja võtta? Mitte midagi! Seade on täis andmeid: kõneteave, telefoniraamat, SMS, kiirsõnumid, e-post, multimeediumifailid jne. Ja te ei saa sellest midagi välja. Kohutav tunne!

Mida teha sellises olukorras? Hea lahendus on kasutada patenteeritud varundusutiliite (Mi PC Suite Xiaomi nutitelefonide jaoks, Samsung Smart Switch Samsungi jaoks, HiSuite Huawei jaoks).

Selles artiklis vaatleme Huawei nutitelefonidest andmete loomist ja ekstraheerimist utiliidi HiSuite abil ning nende järgnevat analüüsi Belkasoft Evidence Centeri abil.

Mis tüüpi andmeid HiSuite'i varukoopiad kaasavad?

HiSuite'i varukoopiad sisaldavad järgmist tüüpi andmeid.

• andmed kontode ja paroolide (või märkide) kohta
• Kontakt
• väljakutseid
• SMS- ja MMS-sõnumid
• e-post
• multimeediumfailid
• Andmebaas
• dokumentatsioon
• arhiivid
• rakendusfailid (laienditega failid.odex, .o, . APK)
• teavet rakendustest (nagu Facebook, Google Drive, Google Photos, Google Mails, Google Maps, Instagram, WhatsApp, YouTube jne)

Vaatame üksikasjalikumalt, kuidas selline varukoopia luuakse ja kuidas seda Belkasoft Evidence Centeri abil analüüsida.

Huawei nutitelefoni varundamine HiSuite'i utiliidi abil

Varukoopia loomiseks patenteeritud utiliidiga peate selle veebisaidilt alla laadima Huawei ja installida.

HiSuite'i allalaadimisleht Huawei veebisaidil:

Seadme sidumiseks arvutiga kasutatakse HDB (Huawei Debug Bridge) režiimi. Huawei veebisaidil või programmis HiSuite on üksikasjalikud juhised, kuidas mobiilseadmes HDB-režiimi aktiveerida. Pärast HDB režiimi aktiveerimist käivitage oma mobiilseadmes rakendus HiSuite ja sisestage selles rakenduses kuvatav kood arvutis töötavasse HiSuite programmi aknasse.

Koodi sisestamise aken HiSuite'i töölauaversioonis:

Varundusprotsessi ajal palutakse teil sisestada parool, mida kasutatakse seadme mälust ekstraheeritud andmete kaitsmiseks. Loodud varukoopia asub tee ääres C:/Kasutajad/%Kasutajaprofiil%/Dokumendid/HiSuite/varukoopia/.

Huawei Honor 20 Pro nutitelefoni varukoopia:

HiSuite'i varukoopia analüüsimine Belkasoft Evidence Centeri abil

Saadud varukoopia analüüsimiseks kasutades Belkasofti tõenduskeskus luua uus äri. Seejärel valige andmeallikaks Mobiilne pilt. Avanevas menüüs määrake nutitelefoni varukoopia asukoha kataloogi tee ja valige fail info.xml.

Varukoopia tee määramine:

Järgmises aknas palub programm teil valida artefaktide tüübid, mida peate leidma. Pärast skannimise alustamist minge vahekaardile Task Manager ja klõpsake nuppu Konfigureerige ülesanne, sest programm ootab krüptitud varukoopia dekrüpteerimiseks parooli.

nupp Konfigureerige ülesanne:

Pärast varukoopia dekrüpteerimist palub Belkasofti tõenduskeskus teil uuesti määrata artefaktide tüübid, mida tuleb ekstraktida. Pärast analüüsi lõpetamist saab vahekaartidel vaadata teavet ekstraheeritud artefaktide kohta Case Explorer и Ülevaade .

Huawei Honor 20 Pro varundusanalüüsi tulemused:

HiSuite'i varukoopia analüüs Mobile Forensic Expert programmi abil

Teine kohtuekspertiisi programm, mida saab kasutada andmete eraldamiseks HiSuite'i varukoopiast, on "Mobiilne kohtuekspert".

HiSuite'i varukoopiasse salvestatud andmete töötlemiseks klõpsake valikul Varukoopiate importimine programmi põhiaknas.

Fragment programmi "Mobile Forensic Expert" peaaknast:

Või sektsioonis Impordi valige imporditavate andmete tüüp Huawei varundus:

Avanevas aknas määrake faili tee info.xml. Ekstraheerimisprotseduuri alustamisel ilmub aken, kus teil palutakse sisestada HiSuite'i varukoopia dekrüpteerimiseks teadaolev parool või kasutada Passware'i tööriista, et proovida seda parooli ära arvata, kui see pole teada:

Varukoopia analüüsi tulemuseks on programmi "Mobile Forensic Expert" aken, mis näitab ekstraheeritud artefaktide tüüpe: kõned, kontaktid, sõnumid, failid, sündmuste voog, rakenduse andmed. Pöörake tähelepanu selle kohtuekspertiisi programmiga erinevatest rakendustest eraldatud andmete hulgale. See on lihtsalt tohutu!

Programmi Mobile Forensic Expert HiSuite'i varukoopiast eraldatud andmetüüpide loend:

HiSuite'i varukoopiate dekrüpteerimine

Mida teha, kui teil pole neid suurepäraseid programme? Sel juhul on abiks Pythoni skript, mille on välja töötanud ja hooldanud Reality Net System Solutionsi töötaja Francesco Picasso. Selle skripti leiate aadressilt GitHubja selle täpsem kirjeldus on aadressil siit "Huawei varudekrüptija."

Dekrüpteeritud HiSuite'i varukoopiat saab seejärel importida ja klassikaliste kohtuekspertiisi utiliitide (nt. Lahkamisel) või käsitsi.

Järeldused

Seega saate HiSuite'i varundusutiliiti kasutades Huawei nutitelefonidest eraldada suurusjärgu võrra rohkem andmeid kui ADB utiliidi abil samadest seadmetest andmeid eraldades. Vaatamata suurele hulgale mobiiltelefonidega töötamiseks mõeldud utiliitidele, on Belkasoft Evidence Center ja Mobile Forensic Expert ühed vähestest kohtuekspertiisi programmidest, mis toetavad HiSuite'i varukoopiate ekstraheerimist ja analüüsi.

allikatest

1. Detektiivi sõnul häkiti Android-telefone raskemini kui iPhone'e
2. Huawei Hi-Suite
3. Belkasofti tõenduskeskus
4. Mobiilne kohtuekspert
5. Kobackupdec
6. Huawei varudekrüptija
7. Lahkamisel

Allikas: www.habr.com