Android gailuetatik datuak ateratzea egunero zailagoa da, batzuetan baita ere iPhonetik baino. Igor Mikhailov, Group-IB Computer Forensics Laborategiko espezialista, metodo estandarrak erabiliz zure Android telefonotik datuak atera ezin badituzu zer egin behar duzun esaten dizu.
Duela urte batzuk, nire lankideek eta biok Android gailuetan segurtasun-mekanismoen garapenaren joerak eztabaidatu genituen eta ondorioztatu genuen garaia iritsiko zela haien ikerketa forentsea iOS gailuetarako baino zailagoa izango zela. Eta gaur konfiantzaz esan dezakegu garai hau heldu dela.
Duela gutxi Huawei Honor 20 Pro berrikusi nuen. Zer uste duzu ateratzea lortu dugula ADB utilitatearen bidez lortutako babeskopiatik? Ezer ez! Gailua datuz beteta dago: deien informazioa, telefono liburua, SMSak, berehalako mezularitza, posta elektronikoa, multimedia fitxategiak, etab. Eta ezin duzu ezer atera. Sentsazio izugarria!
Zer egin horrelako egoera batean? Irtenbide on bat babeskopia-utilitate jabedunak erabiltzea da (Mi PC Suite Xiaomi telefonoetarako, Samsung Smart Switch Samsung, HiSuite Huawei-rako).
Artikulu honetan Huawei telefono mugikorretatik datuak sortu eta ateratzea aztertuko dugu HiSuite utilitatea erabiliz eta haien ondorengo azterketa Belkasoft Evidence Center erabiliz.
Zer datu mota sartzen dira HiSuite babeskopietan?
HiSuite babeskopietan datu mota hauek sartzen dira:
- kontuei eta pasahitzei buruzko datuak (edo tokenak)
- kontaktuei
- erronkak
- SMS eta MMS mezuak
- multimedia fitxategiak
- Datu-basea
- dokumentazioa
- artxiboak
- aplikazio fitxategiak (luzapenak dituzten fitxategiak.odex, .beraz, APK)
- Aplikazioetako informazioa (adibidez, Facebook, Google Drive, Google Photos, Google Mails, Google Maps, Instagram, WhatsApp, YouTube, etab.)
Ikus dezagun xehetasun gehiago nola sortzen den babeskopia hori eta nola aztertu Belkasoft Evidence Center erabiliz.
Huawei telefono baten babeskopiak egitea HiSuite utilitatea erabiliz
Jabedun utilitate batekin segurtasun kopia bat sortzeko, webgunetik deskargatu behar duzu eta instalatu.
HiSuite deskargatzeko orria Huawei webgunean:
Gailua ordenagailu batekin parekatzeko, HDB (Huawei Debug Bridge) modua erabiltzen da. Huaweiren webgunean edo HiSuite programan bertan argibide zehatzak daude zure gailu mugikorrean HDB modua nola aktibatzeko. HDB modua aktibatu ondoren, abiarazi HiSuite aplikazioa zure gailu mugikorrean eta sartu aplikazio honetan bistaratzen den kodea zure ordenagailuan exekutatzen den HiSuite programaren leihoan.
Kodea sartzeko leihoa HiSuite-ren mahaigaineko bertsioan:
Babeskopia prozesuan zehar, pasahitz bat sartzeko eskatuko zaizu, gailuaren memoriatik ateratako datuak babesteko erabiliko dena. Sortutako babeskopia bidearen ondoan kokatuko da C:/Erabiltzaileak/%Erabiltzaile profila%/Dokumentuak/HiSuite/backup/.
Huawei Honor 20 Pro telefonoaren babeskopia:
HiSuite babeskopia bat aztertzea Belkasoft Evidence Center erabiliz
Sortutako babeskopia erabiliz aztertzeko negozio berri bat sortu. Ondoren, hautatu datu-iturburu gisa Mugikorreko Irudia. Irekitzen den menuan, zehaztu telefonoaren babeskopia dagoen direktoriorako bidea eta hautatu fitxategia info.xml.
Babeskopiarako bidea zehaztea:
Hurrengo leihoan, programak bilatu behar dituzun artefaktu motak hautatzeko eskatuko dizu. Eskaneatzen hasi ondoren, joan fitxara Zeregin kudeatzailea eta egin klik botoian Konfiguratu zeregina, programak pasahitz bat espero baitu enkriptatutako babeskopia deszifratzeko.
botoia Konfiguratu zeregina:
Babeskopia deszifratu ondoren, Belkasoft Evidence Center-ek atera behar diren artefaktu motak berriro zehazteko eskatuko dizu. Azterketa amaitu ondoren, ateratako artefaktuei buruzko informazioa fitxetan ikus daiteke Kasuen esploratzailea ΠΈ Orokorra .
Huawei Honor 20 Pro babeskopien analisiaren emaitzak:
HiSuite babeskopia baten analisia Mobile Forensic Expert programa erabiliz
HiSuite backup batetik datuak ateratzeko erabil daitekeen beste programa forentse bat da .
HiSuite backup batean gordetako datuak prozesatzeko, egin klik aukeran Babeskopia inportatzea programaren leiho nagusian.
"Mobile Forensic Expert" programaren leiho nagusiaren zatia:
Edo atalean inportazioak hautatu inportatutako datu mota Huawei babeskopia:
Irekitzen den leihoan, zehaztu fitxategiaren bidea info.xml. Erauzketa-prozedura hasten duzunean, leiho bat agertuko da eta bertan pasahitz ezagun bat idazteko eskatuko zaizu HiSuite babeskopia deszifratzeko, edo Passware tresna erabiltzeko pasahitz hori ezezaguna bada asmatzen saiatzeko:
Babeskopia-kopiaren analisiaren emaitza "Mobile Forensic Expert" programaren leihoa izango da, ateratako artefaktu motak erakusten dituena: deiak, kontaktuak, mezuak, fitxategiak, gertaeren jarioa, aplikazioaren datuak. Kontuan izan forentse programa honek hainbat aplikaziotatik ateratako datu kopuruari. Handia besterik ez da!
Mobile Forensic Expert programako HiSuite babeskopitik ateratako datu-moten zerrenda:
HiSuite babeskopiak deszifratzen
Zer egin programa zoragarri hauek ez badituzu? Kasu honetan, Francesco Picasso Reality Net System Solutions-eko langileak garatu eta mantentzen duen Python script batek lagunduko dizu. Gidoi hau helbidean aurki dezakezu , eta bere deskribapen zehatzagoa hemen dago "Huawei babeskopia deszifratzailea".
Deszifratutako HiSuite babeskopia inportatu eta analizatu daiteke auzitegi-utilitate klasikoak erabiliz (adibidez. ) edo eskuz.
Findings
Horrela, HiSuite babeskopia-erabilgarritasuna erabiliz, Huawei telefono mugikorretatik datu kopuru bat gehiago atera ditzakezu gailu bereko datuak ADB erabilgarritasuna erabiliz ateratzen dituzunean baino. Telefono mugikorrekin lan egiteko utilitate ugari izan arren, Belkasoft Evidence Center eta Mobile Forensic Expert dira HiSuite babeskopien erauzketa eta analisia onartzen duten forentse-programa bakanetakoak.
iturri
Iturria: www.habr.com