Analyse médico-légale des sauvegardes HiSuite

Extraire des données depuis des appareils Android devient chaque jour plus difficile – parfois même plus difficileque depuis l'iPhone. Игорь Михайлов, специалист Лаборатории компьютерной криминалистики Group-IB, vous indique quoi faire si vous ne parvenez pas à extraire les données de votre smartphone Android à l'aide de méthodes standard.

Il y a plusieurs années, mes collègues et moi avons discuté des tendances dans le développement des mécanismes de sécurité sur les appareils Android et sommes arrivés à la conclusion que le moment viendrait où leur enquête médico-légale deviendrait plus difficile que pour les appareils iOS. Et aujourd’hui, nous pouvons affirmer avec certitude que ce moment est venu.

J'ai récemment examiné le Huawei Honor 20 Pro. Que pensez-vous que nous avons réussi à extraire de sa sauvegarde obtenue à l'aide de l'utilitaire ADB ? Rien! L'appareil regorge de données : informations d'appels, répertoire téléphonique, SMS, messagerie instantanée, email, fichiers multimédia, etc. Et vous ne pouvez rien sortir de tout ça. Terrible sensation !

Как же быть в такой ситуации? Хороший выход — использование фирменных утилит резервного копирования (Mi PC Suite — для смартфонов Xiaomi, Samsung Smart Switch для — Samsung, HiSuite для — Huawei).

Dans cet article, nous examinerons la création et l'extraction de données des smartphones Huawei à l'aide de l'utilitaire HiSuite et leur analyse ultérieure à l'aide du Belkasoft Evidence Center.

Какие типы данных попадают в резервные копии HiSuite?

В резервные копии HiSuite попадают следующие типы данных:

• données sur les comptes et les mots de passe (ou jetons)
• contacts
• défis
• Messages SMS et MMS
• email
• fichiers multimédia
• des bases
• documents
• les archives
• файлы приложений (файлы с расширениями.odex, .so, .apk)
• информация из приложений (таких как Facebook, Google Drive, Google Photos, Google Mails, Google Maps, Instagram, WhatsApp, YouTube и т.д.)

Examinons plus en détail comment une telle sauvegarde est créée et comment l'analyser à l'aide de Belkasoft Evidence Center.

Sauvegarder un smartphone Huawei à l'aide de l'utilitaire HiSuite

Pour créer une copie de sauvegarde avec un utilitaire propriétaire, vous devez la télécharger depuis le site Web Huawei et installer.

Page de téléchargement HiSuite sur le site Web de Huawei :

Pour coupler l'appareil avec un ordinateur, le mode HDB (Huawei Debug Bridge) est utilisé. Il existe des instructions détaillées sur le site Web de Huawei ou dans le programme HiSuite lui-même sur la façon d'activer le mode HDB sur votre appareil mobile. Après avoir activé le mode HDB, lancez l'application HiSuite sur votre appareil mobile et saisissez le code affiché dans cette application dans la fenêtre du programme HiSuite exécuté sur votre ordinateur.

Fenêtre de saisie de code dans la version bureau de HiSuite :

Pendant le processus de sauvegarde, il vous sera demandé de saisir un mot de passe, qui sera utilisé pour protéger les données extraites de la mémoire de l'appareil. La copie de sauvegarde créée sera située le long du chemin C:/Utilisateurs/%Profil utilisateur%/Documents/HiSuite/backup/.

Резервная копия смартфона Huawei Honor 20 Pro:

Analyser une sauvegarde HiSuite à l'aide de Belkasoft Evidence Center

Pour analyser la sauvegarde résultante à l'aide Centre de preuves Belkasoft créer une nouvelle entreprise. Sélectionnez ensuite comme source de données Image mobile. Dans le menu qui s'ouvre, précisez le chemin d'accès au répertoire où se trouve la sauvegarde du smartphone et sélectionnez le fichier info.xml.

Spécification du chemin d'accès à la sauvegarde :

Dans la fenêtre suivante, le programme vous demandera de sélectionner les types d'artefacts que vous devez rechercher. Après avoir lancé le scan, allez dans l'onglet Gestionnaire des tâches et cliquez sur le bouton Configure task, car le programme attend un mot de passe pour déchiffrer la sauvegarde cryptée.

Bouton Configure task:

После расшифровки резервной копии Belkasoft Evidence Center попросит повторно указать типы артефактов, которые необходимо извлечь. После окончания анализа информацию об извлеченных артефактах можно просмотреть во вкладках Explorateur de cas и Vue d’ensemble .

Результаты анализа резервной копии Huawei Honor 20 Pro:

Анализ резервной копии HiSuite с помощью программы «Мобильный Криминалист Эксперт»

Un autre programme d'investigation pouvant être utilisé pour extraire des données d'une sauvegarde HiSuite est "Expert médico-légal mobile".

Pour traiter les données stockées dans une sauvegarde HiSuite, cliquez sur l'option Importer des sauvegardes dans la fenêtre principale du programme.

Fragment de la fenêtre principale du programme « Mobile Forensic Expert » :

Ou dans la rubrique importations выберите тип импортируемых данных Резервная копия Huawei:

Dans la fenêtre qui s'ouvre, précisez le chemin d'accès au fichier info.xml. При старте процедуры извлечения появится окно, в котором будет предложено либо ввести известный пароль для расшифровки резервной копии HiSuite, либо применить инструмент компании Passware, чтобы попробовать подобрать этот пароль, если он неизвестен:

Le résultat de l'analyse de la copie de sauvegarde sera la fenêtre du programme « Mobile Forensic Expert », qui affiche les types d'artefacts extraits : appels, contacts, messages, fichiers, flux d'événements, données d'application. Faites attention à la quantité de données extraites de diverses applications par ce programme médico-légal. C'est juste énorme !

Liste des types de données extraites de la sauvegarde HiSuite dans le programme Mobile Forensic Expert :

Décryptage des sauvegardes HiSuite

Que faire si vous ne disposez pas de ces merveilleux programmes ? Dans ce cas, un script Python développé et maintenu par Francesco Picasso, employé de Reality Net System Solutions, vous aidera. Vous pouvez trouver ce script sur GitHub, et sa description plus détaillée se trouve dans article «Huawei backup decryptor».

В дальнейшем расшифрованная резервная копия HiSuite может быть импортирована и проанализирована с помощью классических криминалистических утилит (например, Autopsie) или вручную.

résultats

Ainsi, en utilisant l'utilitaire de sauvegarde HiSuite, vous pouvez extraire un ordre de grandeur plus de données des smartphones Huawei que lors de l'extraction de données des mêmes appareils à l'aide de l'utilitaire ADB. Malgré le grand nombre d'utilitaires permettant de travailler avec les téléphones mobiles, Belkasoft Evidence Center et Mobile Forensic Expert font partie des rares programmes médico-légaux prenant en charge l'extraction et l'analyse des sauvegardes HiSuite.

sources

1. Les téléphones Android sont plus piratés que les iPhones, selon un détective
2. Huawei HiSuite
3. Centre de preuves Belkasoft
4. Expert médico-légal mobile
5. Kobackupdec
6. Huawei backup decryptor
7. Autopsie

Source: habr.com