Gegevens ekstrahearje fan Android-apparaten wurdt elke dei dreger - soms sels dan fan 'e iPhone. Igor Mikhailov, spesjalist by it Group-IB Computer Forensics Laboratory, fertelt jo wat te dwaan as jo gjin gegevens fan jo Android-smartphone kinne ekstrahearje mei standertmetoaden.
Ferskate jierren lyn besprutsen myn kollega's en ik trends yn 'e ûntwikkeling fan feiligensmeganismen yn Android-apparaten en kamen ta de konklúzje dat de tiid soe komme dat har forensysk ûndersyk dreger soe wurde as foar iOS-apparaten. En hjoed kinne wy mei fertrouwen sizze dat dizze tiid kommen is.
Ik haw koartlyn de Huawei Honor 20 Pro besjoen. Wat tinke jo dat wy binne slagge om te ekstrahearjen fan har reservekopy krigen mei it ADB-hulpprogramma? Neat! It apparaat is fol mei gegevens: opropynformaasje, tillefoanboek, SMS, instant messaging, e-post, multimediabestannen, ensfh. En do kinst neat fan dit út. Ferskriklik gefoel!
Wat te dwaan yn sa'n situaasje? In goede oplossing is om proprietêre reservekopy-hulpprogramma's te brûken (Mi PC Suite foar Xiaomi-smartphones, Samsung Smart Switch foar Samsung, HiSuite foar Huawei).
Yn dit artikel sille wy sjen nei it oanmeitsjen en ekstrahearje fan gegevens fan Huawei-smartphones mei it HiSuite-hulpprogramma en har folgjende analyze mei Belkasoft Evidence Center.
Hokker soarten gegevens binne opnommen yn HiSuite-backups?
De folgjende soarten gegevens binne opnommen yn HiSuite-backups:
- gegevens oer akkounts en wachtwurden (as tokens)
- Kontakten
- útdagings
- SMS- en MMS-berjochten
- multimedia triemmen
- Databank
- dokuminten
- argyf
- applikaasjebestannen (bestannen mei tafoegings.odex, .sa, .apk)
- ynformaasje fan applikaasjes (lykas Facebook, Google Drive, Google Photos, Google Mails, Google Maps, Instagram, WhatsApp, YouTube, ensfh.)
Litte wy yn mear detail sjen hoe't sa'n reservekopy wurdt makke en hoe't jo it analysearje mei Belkasoft Evidence Center.
Reservekopy fan in Huawei-smartphone mei HiSuite-hulpprogramma
Om in reservekopy te meitsjen mei in proprietêr hulpprogramma, moatte jo it downloade fan 'e webside en ynstallearje.
HiSuite downloadpagina op Huawei webside:
Om it apparaat te koppelen mei in kompjûter, wurdt HDB (Huawei Debug Bridge) modus brûkt. D'r binne detaillearre ynstruksjes op 'e Huawei-webside of yn it HiSuite-programma sels oer hoe't jo HDB-modus op jo mobyl apparaat kinne aktivearje. Nei it aktivearjen fan HDB-modus, starte de HiSuite-applikaasje op jo mobyl apparaat en fier de koade yn dy't yn dizze applikaasje werjûn wurdt yn it HiSuite-programmafinster dat op jo kompjûter rint.
Koade ynfierfinster yn 'e buroblêdferzje fan HiSuite:
Tidens it reservekopyproses wurde jo frege om in wachtwurd yn te fieren, dat sil wurde brûkt om de gegevens te beskermjen dy't út it apparaatûnthâld helle wurde. De makke reservekopy sil lizze lâns it paad C:/Users/%User profile%/Documents/HiSuite/backup/.
Huawei Honor 20 Pro smartphone backup:
Analyse fan in HiSuite-backup mei Belkasoft Evidence Center
Om analysearje de resultearjende reservekopy mei help meitsje in nij bedriuw. Selektearje dan as gegevensboarne Mobile ôfbylding. Spesifisearje yn it menu dat iepent it paad nei de map wêr't de smartphone-reservekopy leit en selektearje it bestân info.xml.
It paad nei de reservekopy oantsjutte:
Yn it folgjende finster sil it programma jo freegje om de soarten artefakten te selektearjen dy't jo moatte fine. Nei it starten fan de scan, gean nei de ljepper taak Manager en klikje op de knop Taak konfigurearje, om't it programma in wachtwurd ferwachtet om de fersifere reservekopy te ûntsiferjen.
knop Taak konfigurearje:
Nei it ûntsiferjen fan de reservekopy sil Belkasoft Evidence Center jo freegje om de soarten artefakten opnij oan te jaan dy't moatte wurde ekstrahearre. Nei't de analyze is foltôge, kin ynformaasje oer de ekstrahearre artefakten wurde besjoen yn 'e ljeppers Case Explorer и Oersicht .
Huawei Honor 20 Pro backup analyse resultaten:
Analyse fan in HiSuite-backup mei it Mobile Forensic Expert-programma
In oar forensysk programma dat kin wurde brûkt om gegevens út in HiSuite-backup te ekstrahearjen is .
Om gegevens te ferwurkjen opslein yn in HiSuite-backup, klikje jo op de opsje It ymportearjen fan backups yn it haadprogrammafinster.
Fragmint fan it haadfinster fan it programma "Mobile Forensic Expert":
Of yn 'e seksje Ymportearje selektearje it type gegevens om te ymportearjen Huawei backup:
Spesifisearje yn it finster dat iepent it paad nei de triem info.xml. As jo de ekstraksjeproseduere begjinne, sil in finster ferskine wêryn jo frege wurde om in bekend wachtwurd yn te fieren om de HiSuite-backup te ûntsiferjen, of it Passware-ark te brûken om te besykjen dit wachtwurd te rieden as it ûnbekend is:
It resultaat fan 'e analyse fan' e reservekopy sil it programmafinster "Mobile Forensic Expert" wêze, dat de soarten ekstrahearre artefakten toant: oproppen, kontakten, berjochten, bestannen, evenemintenfeed, applikaasjegegevens. Soarch omtinken foar de hoemannichte gegevens ekstrahearre út ferskate applikaasjes troch dit forensyske programma. It is gewoan grut!
List mei ekstrahearre gegevenstypen fan HiSuite-backup yn it Mobile Forensic Expert-programma:
HiSuite-backups ûntsiferje
Wat te dwaan as jo dizze prachtige programma's net hawwe? Yn dit gefal sil in Python-skript ûntwikkele en ûnderhâlden troch Francesco Picasso, in meiwurker fan Reality Net System Solutions, jo helpe. Jo kinne dit skript fine op , en syn mear detaillearre beskriuwing is yn "Huawei backup decryptor."
De dekodearre HiSuite-backup kin dan wurde ymporteare en analysearre mei klassike forensyske nutsfoarsjenningen (bgl. ) of mei de hân.
befinings
Sa kinne jo, mei help fan it HiSuite-reservekopyprogramma, in folchoarder fan grutte mear gegevens út Huawei-smartphones ekstrahearje dan by it ekstrahearjen fan gegevens fan deselde apparaten mei it ADB-hulpprogramma. Nettsjinsteande it grutte oantal nutsbedriuwen foar it wurkjen mei mobile tillefoans, binne Belkasoft Evidence Center en Mobile Forensic Expert ûnder de pear forensyske programma's dy't de ekstraksje en analyse fan HiSuite-backups stypje.
Boarnen
Boarne: www.habr.com