Tietojen purkaminen Android-laitteista on päivä päivältä vaikeampaa - joskus jopa vaikeampaakuin iPhonesta. Igor Mikhailov, asiantuntija Group-IB Computer Forensics Laboratorysta, kertoo, mitä tehdä, jos et voi poimia tietoja Android-älypuhelimesta tavallisilla menetelmillä.
Useita vuosia sitten keskustelimme kollegoideni kanssa Android-laitteiden turvamekanismien kehityksen trendeistä ja tulimme siihen tulokseen, että tulee aika, jolloin niiden rikostekninen tutkinta tulee olemaan vaikeampaa kuin iOS-laitteiden osalta. Ja tänään voimme sanoa luottavaisin mielin, että tämä aika on koittanut.
Arvostelin äskettäin Huawei Honor 20 Prota. Mitä luulet onnistuneen poimimaan sen ADB-apuohjelman avulla saadusta varmuuskopiosta? Ei mitään! Laite on täynnä dataa: puhelutiedot, puhelinluettelo, tekstiviestit, pikaviestit, sähköposti, multimediatiedostot jne. Etkä saa tästä mitään irti. Kamala tunne!
Mitä tehdä tällaisessa tilanteessa? Hyvä ratkaisu on käyttää omia varmuuskopiointiapuohjelmia (Mi PC Suite Xiaomi-älypuhelimille, Samsung Smart Switch Samsungille, HiSuite Huaweille).
Tässä artikkelissa tarkastellaan tietojen luomista ja purkamista Huawei-älypuhelimista HiSuite-apuohjelman avulla ja niiden myöhempää analysointia Belkasoft Evidence Centerin avulla.
Seuraavan tyyppiset tiedot sisältyvät HiSuite-varmuuskopioihin:
tiedot tileistä ja salasanoista (tai tunnuksista)
yhteystiedot
haasteet
SMS- ja MMS-viestit
sähköposti
multimediatiedostoja
Tietokanta
asiakirjat
arkistot
sovellustiedostot (tiedostot, joiden tunniste.odex, .niin, . Apk)
tietoja sovelluksista (kuten Facebook, Google Drive, Google Photos, Google Mails, Google Maps, Instagram, WhatsApp, YouTube jne.)
Katsotaanpa tarkemmin, kuinka tällainen varmuuskopio luodaan ja kuinka se analysoidaan Belkasoft Evidence Centerin avulla.
Huawei-älypuhelimen varmuuskopiointi HiSuite-apuohjelman avulla
Jos haluat luoda varmuuskopion omalla apuohjelmalla, sinun on ladattava se verkkosivustolta Huawei ja asenna.
HiSuite-lataussivu Huawein verkkosivustolla:
Laitteen ja tietokoneen yhdistämiseen käytetään HDB (Huawei Debug Bridge) -tilaa. Huawein verkkosivuilla tai itse HiSuite-ohjelmassa on tarkat ohjeet HDB-tilan aktivoimiseen mobiililaitteellasi. Kun olet aktivoinut HDB-tilan, käynnistä HiSuite-sovellus mobiililaitteellasi ja syötä tässä sovelluksessa näkyvä koodi tietokoneellasi käynnissä olevaan HiSuite-ohjelmaikkunaan.
Koodinsyöttöikkuna HiSuiten työpöytäversiossa:
Varmuuskopiointiprosessin aikana sinua pyydetään antamaan salasana, jota käytetään laitteen muistista poimittujen tietojen suojaamiseen. Luotu varmuuskopio sijaitsee polun varrella C:/Käyttäjät/%Käyttäjäprofiili%/Dokumentit/HiSuite/varmuuskopio/.
Huawei Honor 20 Pro -älypuhelimen varmuuskopio:
HiSuite-varmuuskopion analysointi Belkasoft Evidence Centerin avulla
Analysoidaksesi tuloksena olevan varmuuskopion käyttämällä Belkasoftin todistekeskus perustaa uusi yritys. Valitse sitten tietolähteeksi Mobiilikuva. Määritä avautuvassa valikossa polku hakemistoon, jossa älypuhelimen varmuuskopio sijaitsee, ja valitse tiedosto info.xml.
Varmuuskopion polun määrittäminen:
Seuraavassa ikkunassa ohjelma kehottaa sinua valitsemaan artefaktityypit, jotka sinun on löydettävä. Kun olet käynnistänyt skannauksen, siirry välilehdelle Task Manager ja napsauta painiketta Määritä tehtävä, koska ohjelma odottaa salasanan salatun varmuuskopion salauksen purkamiseen.
Nappi Määritä tehtävä:
Kun varmuuskopion salaus on purettu, Belkasoft Evidence Center pyytää sinua määrittämään uudelleen purettavien artefaktien tyypit. Kun analyysi on valmis, tiedot puretuista esineistä voidaan tarkastella välilehdillä Case Explorer и Yleiskatsaus .
Tai osiossa tuonti valitse tuotujen tietojen tyyppi Huawei varmuuskopio:
Määritä avautuvassa ikkunassa tiedoston polku info.xml. Kun aloitat purkamisen, näkyviin tulee ikkuna, jossa sinua pyydetään joko syöttämään tunnettu salasana HiSuite-varmuuskopion salauksen purkamiseksi tai käyttämällä Passware-työkalua yrittääksesi arvata tämän salasanan, jos se on tuntematon:
Varmuuskopion analyysin tuloksena tulee "Mobile Forensic Expert" -ohjelman ikkuna, joka näyttää purettujen artefaktien tyypit: puhelut, yhteystiedot, viestit, tiedostot, tapahtumasyöte, sovellustiedot. Kiinnitä huomiota tämän rikosteknisen ohjelman eri sovelluksista poimimien tietojen määrään. Se on vain valtava!
Luettelo Mobile Forensic Expert -ohjelman HiSuite-varmuuskopiosta puretuista tietotyypeistä:
HiSuite-varmuuskopioiden salauksen purku
Mitä tehdä, jos sinulla ei ole näitä upeita ohjelmia? Tässä tapauksessa Reality Net System Solutionsin työntekijän Francesco Picasson kehittämä ja ylläpitämä Python-skripti auttaa sinua. Löydät tämän käsikirjoituksen osoitteessa GitHub, ja sen tarkempi kuvaus löytyy статье "Huawein varmuuskopion purkaja."
Salauksesta purettu HiSuite-varmuuskopio voidaan sitten tuoda ja analysoida käyttämällä klassisia rikosteknisiä apuohjelmia (esim. Ruumiinavaukseen) tai manuaalisesti.
Tulokset
Siten käyttämällä HiSuite-varmuuskopiointiohjelmaa voit poimia Huawei-älypuhelimista suuruusluokkaa enemmän tietoa kuin poimiessasi tietoja samoista laitteista ADB-apuohjelman avulla. Huolimatta matkapuhelinten kanssa työskentelyyn tarkoitettujen apuohjelmien suuresta määrästä, Belkasoft Evidence Center ja Mobile Forensic Expert ovat niitä harvoja rikosteknisiä ohjelmia, jotka tukevat HiSuite-varmuuskopioiden purkamista ja analysointia.