استخراج داده ها از دستگاه های اندرویدی هر روز سخت تر می شود - حتی گاهی اوقات نسبت به آیفون ایگور میخائیلوف، متخصص در آزمایشگاه پزشکی قانونی Group-IB، به شما می گوید اگر نمی توانید داده ها را با استفاده از روش های استاندارد از تلفن هوشمند Android خود استخراج کنید، چه کاری انجام دهید.
چندین سال پیش، من و همکارانم در مورد روند توسعه مکانیسمهای امنیتی در دستگاههای اندرویدی بحث کردیم و به این نتیجه رسیدیم که زمانی فرا میرسد که تحقیقات پزشکی قانونی آنها دشوارتر از دستگاههای iOS خواهد شد. و امروز می توانیم با اطمینان بگوییم که این زمان فرا رسیده است.
من اخیراً Huawei Honor 20 Pro را بررسی کردم. به نظر شما ما توانستیم چه چیزی را از پشتیبان تهیه شده با استفاده از ابزار ADB استخراج کنیم؟ هیچ چی! دستگاه پر از داده است: اطلاعات تماس، دفترچه تلفن، پیامک، پیام فوری، ایمیل، فایل های چند رسانه ای و غیره. و شما نمی توانید هیچ یک از اینها را بیرون بیاورید. احساس وحشتناک!
در چنین شرایطی چه باید کرد؟ یک راه حل خوب استفاده از ابزارهای پشتیبان اختصاصی است (Mi PC Suite برای گوشی های هوشمند شیائومی، سوئیچ هوشمند سامسونگ برای سامسونگ، HiSuite برای Huawei).
در این مقاله به ایجاد و استخراج داده ها از گوشی های هوشمند هواوی با استفاده از ابزار HiSuite و تجزیه و تحلیل بعدی آنها با استفاده از Belkasoft Evidence Center خواهیم پرداخت.
چه نوع داده هایی در پشتیبان گیری HiSuite گنجانده شده است؟
انواع داده های زیر در پشتیبان گیری HiSuite گنجانده شده است:
- دادههای مربوط به حسابها و رمزهای عبور (یا توکنها)
- جزئیات تماس
- چالش ها
- پیامک و MMS
- ایمیل
- فایل های چند رسانه ای
- پایگاه داده
- اسناد
- آرشیوها
- فایل های برنامه (فایل های با پسوند.odex, .بنابراین, apk را)
- اطلاعات از برنامه ها (مانند فیس بوک، گوگل درایو، گوگل فوتوز، گوگل میل، گوگل مپ، اینستاگرام، واتس اپ، یوتیوب و غیره)
بیایید با جزئیات بیشتری به نحوه ایجاد چنین پشتیبان گیری و نحوه تجزیه و تحلیل آن با استفاده از Belkasoft Evidence Center نگاه کنیم.
پشتیبان گیری از گوشی هوشمند هواوی با استفاده از ابزار HiSuite
برای ایجاد یک نسخه پشتیبان با یک ابزار اختصاصی، باید آن را از وب سایت دانلود کنید و نصب کنید.
صفحه دانلود HiSuite در وب سایت هواوی:
برای جفت کردن دستگاه با کامپیوتر، از حالت HDB (Huawei Debug Bridge) استفاده می شود. دستورالعمل های دقیقی در وب سایت هواوی یا در خود برنامه HiSuite در مورد نحوه فعال کردن حالت HDB در دستگاه تلفن همراه وجود دارد. پس از فعال کردن حالت HDB، برنامه HiSuite را روی دستگاه تلفن همراه خود راه اندازی کنید و کد نمایش داده شده در این برنامه را در پنجره برنامه HiSuite در حال اجرا بر روی رایانه خود وارد کنید.
پنجره ورود کد در نسخه دسکتاپ HiSuite:
در طول فرآیند پشتیبانگیری، از شما خواسته میشود یک رمز عبور وارد کنید، که برای محافظت از دادههای استخراجشده از حافظه دستگاه استفاده میشود. نسخه پشتیبان ایجاد شده در امتداد مسیر قرار خواهد گرفت ج:/کاربران/%نمایه کاربر%/اسناد/HiSuite/پشتیبان گیری/.
پشتیبان گیری از گوشی هوشمند Huawei Honor 20 Pro:
تجزیه و تحلیل یک نسخه پشتیبان از HiSuite با استفاده از Belkasoft Evidence Center
برای تجزیه و تحلیل پشتیبان گیری حاصل با استفاده از یک کسب و کار جدید ایجاد کنید سپس به عنوان منبع داده انتخاب کنید تصویر موبایل. در منوی باز شده، مسیر دایرکتوری که پشتیبان گوشی هوشمند در آن قرار دارد را مشخص کرده و فایل را انتخاب کنید info.xml.
تعیین مسیر پشتیبان:
در پنجره بعدی، برنامه از شما می خواهد که انواع مصنوعاتی را که باید پیدا کنید، انتخاب کنید. پس از شروع اسکن، به تب بروید وظیفه مدیر و روی دکمه کلیک کنید وظیفه را پیکربندی کنید، زیرا برنامه برای رمزگشایی پشتیبان رمزگذاری شده انتظار رمز عبور دارد.
دکمه وظیفه را پیکربندی کنید:
پس از رمزگشایی پشتیبان، Belkasoft Evidence Center از شما میخواهد تا انواع مصنوعاتی را که باید استخراج شوند، مجدداً مشخص کنید. پس از تکمیل تجزیه و تحلیل، اطلاعات مربوط به مصنوعات استخراج شده را می توان در برگه ها مشاهده کرد Case Explorer и بررسی اجمالی .
نتایج تجزیه و تحلیل پشتیبان گیری هواوی Honor 20 Pro:
تجزیه و تحلیل یک نسخه پشتیبان از HiSuite با استفاده از برنامه Mobile Forensic Expert
یکی دیگر از برنامه های پزشکی قانونی که می تواند برای استخراج داده ها از پشتیبان گیری HiSuite استفاده شود، است .
برای پردازش داده های ذخیره شده در پشتیبان گیری HiSuite، روی گزینه کلیک کنید وارد کردن نسخه پشتیبان در پنجره اصلی برنامه
بخشی از پنجره اصلی برنامه "کارشناس پزشکی قانونی سیار":
یا در بخش واردات نوع داده را برای وارد کردن انتخاب کنید پشتیبان گیری هواوی:
در پنجره باز شده مسیر فایل را مشخص کنید info.xml. هنگامی که فرآیند استخراج را شروع می کنید، پنجره ای ظاهر می شود که در آن از شما خواسته می شود یک رمز عبور شناخته شده برای رمزگشایی پشتیبان HiSuite وارد کنید، یا از ابزار Passware برای حدس زدن این رمز عبور در صورت ناشناخته بودن استفاده کنید:
نتیجه تجزیه و تحلیل نسخه پشتیبان پنجره برنامه "Mobile Forensic Expert" خواهد بود که انواع مصنوعات استخراج شده را نشان می دهد: تماس ها، مخاطبین، پیام ها، فایل ها، فید رویداد، داده های برنامه. به میزان داده های استخراج شده از برنامه های مختلف توسط این برنامه پزشکی قانونی توجه کنید. این فقط بزرگ است!
لیست انواع داده های استخراج شده از پشتیبان گیری HiSuite در برنامه Mobile Forensic Expert:
رمزگشایی پشتیبان های HiSuite
اگر این برنامه های فوق العاده را ندارید چه باید کرد؟ در این مورد، یک اسکریپت پایتون که توسط فرانچسکو پیکاسو، کارمند Reality Net System Solutions توسعه و نگهداری می شود، به شما کمک خواهد کرد. شما می توانید این اسکریپت را در ، و توضیحات دقیق تر آن در "رمزگشای پشتیبان هواوی."
سپس پشتیبان رمزگشایی HiSuite را می توان با استفاده از ابزارهای کلاسیک پزشکی قانونی وارد و تجزیه و تحلیل کرد (به عنوان مثال. ) یا به صورت دستی.
یافته ها
بنابراین، با استفاده از ابزار پشتیبانگیری HiSuite، میتوانید نسبت به استخراج دادهها از همان دستگاهها با استفاده از ابزار ADB، دادههای بیشتری را از تلفنهای هوشمند هواوی استخراج کنید. علیرغم تعداد زیادی ابزار برای کار با تلفن های همراه، Belkasoft Evidence Center و Mobile Forensic Expert از معدود برنامه های پزشکی قانونی هستند که از استخراج و تجزیه و تحلیل پشتیبان های HiSuite پشتیبانی می کنند.
منابع
منبع: www.habr.com