Izvlačenje podataka s Android uređaja svakim danom postaje sve teže – ponekad čak nego s iPhonea. Igor Mikhailov, specijalist u Laboratoriju za računalnu forenziku Group-IB, govori vam što učiniti ako ne možete izvući podatke sa svog Android pametnog telefona standardnim metodama.
Prije nekoliko godina moji kolege i ja raspravljali smo o trendovima u razvoju sigurnosnih mehanizama u Android uređajima i došli do zaključka da će doći vrijeme kada će njihovo forenzičko istraživanje postati teže nego kod iOS uređaja. I danas sa sigurnošću možemo reći da je ovo vrijeme došlo.
Nedavno sam recenzirao Huawei Honor 20 Pro. Što mislite što smo uspjeli izvući iz sigurnosne kopije dobivene pomoću uslužnog programa ADB? Ništa! Uređaj je pun podataka: informacije o pozivima, telefonski imenik, SMS, instant poruke, e-pošta, multimedijske datoteke itd. I ništa od ovoga ne možete izvući. Užasan osjećaj!
Što učiniti u takvoj situaciji? Dobro rješenje je korištenje vlasničkih uslužnih programa za sigurnosno kopiranje (Mi PC Suite za Xiaomi pametne telefone, Samsung Smart Switch za Samsung, HiSuite za Huawei).
U ovom ćemo članku pogledati stvaranje i izdvajanje podataka s Huawei pametnih telefona pomoću uslužnog programa HiSuite i njihovu naknadnu analizu pomoću Belkasoft Evidence Centera.
Koje su vrste podataka uključene u HiSuite sigurnosne kopije?
Sljedeće vrste podataka uključene su u HiSuite sigurnosne kopije:
- podaci o računima i lozinkama (ili tokenima)
- Kontakti
- izazovi
- SMS i MMS poruke
- multimedijske datoteke
- Baza podataka
- dokumentacija
- arhiva
- aplikacijske datoteke (datoteke s nastavcima.dex, .tako, . APK)
- informacije iz aplikacija (kao što su Facebook, Google Drive, Google Photos, Google Mails, Google Maps, Instagram, WhatsApp, YouTube itd.)
Pogledajmo detaljnije kako se takva sigurnosna kopija stvara i kako je analizirati pomoću Belkasoft Evidence Center.
Sigurnosno kopiranje Huawei pametnog telefona pomoću uslužnog programa HiSuite
Da biste stvorili sigurnosnu kopiju pomoću vlasničkog uslužnog programa, morate ga preuzeti s web stranice i instalirati.
Stranica za preuzimanje HiSuite na Huawei web stranici:
Za uparivanje uređaja s računalom koristi se način HDB (Huawei Debug Bridge). Na Huawei web stranici ili u samom HiSuite programu nalaze se detaljne upute kako aktivirati HDB mod na svom mobilnom uređaju. Nakon aktivacije HDB moda, pokrenite aplikaciju HiSuite na svom mobilnom uređaju i unesite kod prikazan u ovoj aplikaciji u prozor programa HiSuite koji se pokreće na vašem računalu.
Prozor za unos koda u desktop verziji HiSuitea:
Tijekom procesa izrade sigurnosne kopije od vas će se tražiti da unesete lozinku koja će se koristiti za zaštitu podataka izvađenih iz memorije uređaja. Stvorena sigurnosna kopija bit će smještena duž staze C:/Korisnici/%Korisnički profil%/Dokumenti/HiSuite/backup/.
Sigurnosna kopija pametnog telefona Huawei Honor 20 Pro:
Analiza HiSuite sigurnosne kopije pomoću Belkasoft Evidence Center
Za analizu dobivene sigurnosne kopije pomoću stvoriti novi posao. Zatim odaberite kao izvor podataka Mobilna slika. U izborniku koji se otvori odredite put do direktorija u kojem se nalazi sigurnosna kopija pametnog telefona i odaberite datoteku info.xml.
Određivanje puta do sigurnosne kopije:
U sljedećem prozoru program će od vas tražiti da odaberete vrste artefakata koje trebate pronaći. Nakon pokretanja skeniranja idite na karticu Task Manager i kliknite gumb Konfigurirajte zadatak, jer program očekuje lozinku za dešifriranje šifrirane sigurnosne kopije.
dugme Konfigurirajte zadatak:
Nakon dešifriranja sigurnosne kopije, Belkasoft Evidence Center će od vas tražiti da ponovno navedete vrste artefakata koje je potrebno ekstrahirati. Nakon završetka analize informacije o ekstrahiranim artefaktima mogu se vidjeti u karticama Istraživač slučajeva и Pregled .
Rezultati analize sigurnosne kopije Huawei Honor 20 Pro:
Analiza HiSuite sigurnosne kopije pomoću programa Mobile Forensic Expert
Drugi forenzički program koji se može koristiti za izdvajanje podataka iz HiSuite sigurnosne kopije je .
Za obradu podataka pohranjenih u HiSuite sigurnosnoj kopiji, kliknite opciju Uvoz sigurnosnih kopija u glavnom prozoru programa.
Fragment glavnog prozora programa “Mobile Forensic Expert”:
Ili u odjeljku Uvoz odaberite vrstu podataka za uvoz Huawei backup:
U prozoru koji se otvori odredite put do datoteke info.xml. Kada pokrenete postupak izdvajanja, pojavit će se prozor u kojem će se od vas tražiti da unesete poznatu lozinku za dešifriranje HiSuite sigurnosne kopije ili koristite Passware alat da pokušate pogoditi ovu lozinku ako je nepoznata:
Rezultat analize sigurnosne kopije bit će prozor programa “Mobile Forensic Expert” koji prikazuje vrste ekstrahiranih artefakata: pozive, kontakte, poruke, datoteke, feed događaja, podatke aplikacije. Obratite pozornost na količinu podataka koje ovaj forenzički program izvlači iz različitih aplikacija. Jednostavno je ogroman!
Popis ekstrahiranih vrsta podataka iz sigurnosne kopije HiSuite u programu Mobile Forensic Expert:
Dešifriranje HiSuite sigurnosnih kopija
Što učiniti ako nemate ove prekrasne programe? U ovom slučaju pomoći će vam Python skripta koju je razvio i održava Francesco Picasso, zaposlenik Reality Net System Solutions. Ovu skriptu možete pronaći na , a njegov detaljniji opis nalazi se u "Huawei backup decryptor."
Dešifrirana HiSuite sigurnosna kopija zatim se može uvesti i analizirati pomoću klasičnih forenzičkih uslužnih programa (npr. ) ili ručno.
Zaključci
Dakle, pomoću uslužnog programa za sigurnosno kopiranje HiSuite možete izvući red veličine više podataka s Huawei pametnih telefona nego kada izvlačite podatke s istih uređaja pomoću uslužnog programa ADB. Unatoč velikom broju uslužnih programa za rad s mobilnim telefonima, Belkasoft Evidence Center i Mobile Forensic Expert su među rijetkim forenzičkim programima koji podržavaju izdvajanje i analizu HiSuite sigurnosnih kopija.
izvori
Izvor: www.habr.com