ProHoster > Blog > Administración > Análise forense das copias de seguridade de HiSuite

Análise forense das copias de seguridade de HiSuite

Análise forense das copias de seguridade de HiSuite

Extraer datos de dispositivos Android é cada día máis difícil, incluso ás veces máis difícilque desde o iPhone. Igor Mikhailov, especialista do Laboratorio de Informática Forense do Grupo-IB, indícalche o que debes facer se non podes extraer datos do teu teléfono intelixente Android usando métodos estándar.

Hai varios anos, os meus colegas e eu discutimos sobre as tendencias no desenvolvemento de mecanismos de seguridade en dispositivos Android e chegamos á conclusión de que chegaría o momento no que a súa investigación forense sería máis difícil que para os dispositivos iOS. E hoxe podemos dicir con seguridade que chegou este momento.

Recentemente revisei o Huawei Honor 20 Pro. Que cres que conseguimos extraer da súa copia de seguridade obtida mediante a utilidade ADB? Nada! O dispositivo está cheo de datos: información de chamadas, axenda telefónica, SMS, mensaxería instantánea, correo electrónico, ficheiros multimedia, etc. E non podes sacar nada disto. Terrible sensación!

Que facer ante tal situación? Unha boa solución é utilizar utilidades de copia de seguridade propietarias (Mi PC Suite para teléfonos intelixentes Xiaomi, Samsung Smart Switch para Samsung, HiSuite para Huawei).

Neste artigo analizaremos a creación e extracción de datos dos teléfonos intelixentes Huawei mediante a utilidade HiSuite e a súa posterior análise mediante Belkasoft Evidence Center.

Que tipos de datos se inclúen nas copias de seguridade de HiSuite?

Nas copias de seguridade de HiSuite inclúense os seguintes tipos de datos:

  • datos sobre contas e contrasinais (ou tokens)
  • datos de contacto
  • retos
  • Mensaxes SMS e MMS
  • correo electrónico
  • arquivos multimedia
  • Base de datos
  • documentación
  • arquivos
  • ficheiros da aplicación (arquivos con extensións.odex, .so, .apk)
  • información de aplicacións (como Facebook, Google Drive, Google Photos, Google Mails, Google Maps, Instagram, WhatsApp, YouTube, etc.)

Vexamos con máis detalle como se crea esa copia de seguridade e como analizala usando Belkasoft Evidence Center.

Facendo unha copia de seguranza dun smartphone Huawei mediante a utilidade HiSuite

Para crear unha copia de seguridade cunha utilidade propietaria, cómpre descargala desde o sitio web Huawei e instalar.

Páxina de descarga de HiSuite no sitio web de Huawei:

Análise forense das copias de seguridade de HiSuite
Para vincular o dispositivo cun ordenador, úsase o modo HDB (Huawei Debug Bridge). Hai instrucións detalladas na páxina web de Huawei ou no propio programa HiSuite sobre como activar o modo HDB no teu dispositivo móbil. Despois de activar o modo HDB, inicie a aplicación HiSuite no seu dispositivo móbil e introduza o código que aparece nesta aplicación na xanela do programa HiSuite que se executa no seu ordenador.

Ventá de entrada de código na versión de escritorio de HiSuite:

Análise forense das copias de seguridade de HiSuite
Durante o proceso de copia de seguridade, solicitaráselle que introduza un contrasinal, que se utilizará para protexer os datos extraídos da memoria do dispositivo. A copia de seguranza creada situarase ao longo do camiño C:/Usuarios/%Perfil de usuario%/Documentos/HiSuite/backup/.

Copia de seguridade do smartphone Huawei Honor 20 Pro:

Análise forense das copias de seguridade de HiSuite

Analizando unha copia de seguridade de HiSuite usando Belkasoft Evidence Center

Para analizar a copia de seguridade resultante mediante Centro de Evidencia de Belkasoft crear un novo negocio. A continuación, seleccione como fonte de datos Imaxe móbil. No menú que se abre, especifique o camiño ao directorio onde se atopa a copia de seguridade do teléfono intelixente e seleccione o ficheiro info.xml.

Especificando o camiño para a copia de seguridade:

Análise forense das copias de seguridade de HiSuite
Na seguinte xanela, o programa pediralle que seleccione os tipos de artefactos que precisa atopar. Despois de iniciar a exploración, vai á pestana Xestor de tarefas e fai clic no botón Configurar tarefa, porque o programa espera un contrasinal para descifrar a copia de seguridade cifrada.

botón Configurar tarefa:

Análise forense das copias de seguridade de HiSuite
Despois de descifrar a copia de seguridade, Belkasoft Evidence Center pediralle que volva especificar os tipos de artefactos que se deben extraer. Despois de completar a análise, a información sobre os artefactos extraídos pódese ver nas pestanas Explorador de casos и visión global .

Resultados da análise de copia de seguridade do Huawei Honor 20 Pro:

Análise forense das copias de seguridade de HiSuite

Análise dunha copia de seguridade de HiSuite mediante o programa Mobile Forensic Expert

Outro programa forense que se pode usar para extraer datos dunha copia de seguridade de HiSuite é "Experto forense móbil".

Para procesar os datos almacenados nunha copia de seguridade de HiSuite, faga clic na opción Importando copias de seguridade na xanela principal do programa.

Fragmento da xanela principal do programa "Mobile Forensic Expert":

Análise forense das copias de seguridade de HiSuite
Ou na sección Importación seleccione o tipo de datos a importar Copia de seguridade de Huawei:

Análise forense das copias de seguridade de HiSuite
Na xanela que se abre, especifique o camiño ao ficheiro info.xml. Cando inicie o procedemento de extracción, aparecerá unha xanela na que se lle pedirá que introduza un contrasinal coñecido para descifrar a copia de seguridade de HiSuite ou que use a ferramenta Passware para tentar adiviñar este contrasinal se é descoñecido:

Análise forense das copias de seguridade de HiSuite
O resultado da análise da copia de seguridade será a xanela do programa "Mobile Forensic Expert", que mostra os tipos de artefactos extraídos: chamadas, contactos, mensaxes, ficheiros, feed de eventos, datos da aplicación. Preste atención á cantidade de datos extraídos de varias aplicacións por este programa forense. É simplemente enorme!

Lista de tipos de datos extraídos da copia de seguridade de HiSuite no programa Mobile Forensic Expert:

Análise forense das copias de seguridade de HiSuite

Descifrando copias de seguridade de HiSuite

Que facer se non tes estes marabillosos programas? Neste caso, un script Python desenvolvido e mantido por Francesco Picasso, un empregado de Reality Net System Solutions, axudarache. Podes atopar este script en GitHub, e a súa descrición máis detallada está en Artigo "Descifrador de copia de seguridade de Huawei".

A copia de seguridade de HiSuite descifrada pódese importar e analizar mediante as utilidades forenses clásicas (p. ex. Autopsia) ou manualmente.

Descubrimentos

Así, usando a utilidade de copia de seguridade HiSuite, pode extraer unha orde de magnitude máis datos dos teléfonos intelixentes Huawei que cando se extrae datos dos mesmos dispositivos mediante a utilidade ADB. A pesar da gran cantidade de utilidades para traballar con teléfonos móbiles, Belkasoft Evidence Center e Mobile Forensic Expert están entre os poucos programas forenses que admiten a extracción e análise de copias de seguridade de HiSuite.

Fontes

  1. Os teléfonos Android piratearon máis que os iPhones segundo un detective
  2. Huawei Hi-Suite
  3. Centro de Evidencia de Belkasoft
  4. Experto forense móbil
  5. Kobackupdec
  6. Descifrador de copia de seguridade de Huawei
  7. Autopsia

Fonte: www.habr.com

Engadir un comentario