HiSuite biztonsági mentések kriminalisztikai elemzése
Az adatok kinyerése Android-eszközökről napról napra nehezebbé válik – néha még nehezebbmint az iPhone-ból. Igor Mihajlov, a Group-IB Computer Forensics Laboratory szakembere megmondja, mit kell tennie, ha nem tud adatokat kinyerni Android okostelefonjáról szabványos módszerekkel.
Néhány évvel ezelőtt kollégáimmal megvitattuk az Android-eszközök biztonsági mechanizmusainak fejlesztési trendjeit, és arra a következtetésre jutottunk, hogy eljön az idő, amikor a törvényszéki vizsgálatuk nehezebb lesz, mint az iOS-eszközök esetében. Ma pedig bátran kijelenthetjük, hogy eljött ez az idő.
Nemrég áttekintettem a Huawei Honor 20 Pro-t. Mit gondol, mit sikerült kinyernünk az ADB segédprogrammal kapott biztonsági másolatából? Semmi! A készülék tele van adatokkal: hívásinformáció, telefonkönyv, SMS, azonnali üzenetküldés, email, multimédiás fájlok stb. És ebből semmit nem tudsz kihozni. Szörnyű érzés!
Mi a teendő ilyen helyzetben? Jó megoldás a szabadalmaztatott biztonsági mentési segédprogramok használata (Mi PC Suite Xiaomi okostelefonokhoz, Samsung Smart Switch Samsunghoz, HiSuite Huaweihez).
Ebben a cikkben megvizsgáljuk a Huawei okostelefonokról a HiSuite segédprogram segítségével történő adatok létrehozását és kinyerését, valamint azok későbbi elemzését a Belkasoft Evidence Center segítségével.
Milyen típusú adatokat tartalmaznak a HiSuite biztonsági másolatok?
A HiSuite biztonsági mentései a következő típusú adatokat tartalmazzák:
adatok a fiókokról és jelszavakról (vagy tokenekről)
Elérhetőségek
kihívások
SMS és MMS üzenetek
email
multimédiás fájlok
Adatbázis
dokumentumok
levéltár
alkalmazásfájlok (kiterjesztésekkel rendelkező fájlok.odex, .így, . Apk)
alkalmazásokból származó információk (például Facebook, Google Drive, Google Photos, Google Mails, Google Maps, Instagram, WhatsApp, YouTube stb.)
Nézzük meg részletesebben, hogyan készül egy ilyen biztonsági másolat, és hogyan elemezzük azt a Belkasoft Evidence Center segítségével.
Huawei okostelefon biztonsági mentése a HiSuite segédprogrammal
Ha biztonsági másolatot szeretne készíteni egy szabadalmaztatott segédprogrammal, le kell töltenie azt a webhelyről Huawei és telepítse.
HiSuite letöltési oldal a Huawei webhelyén:
Az eszköz számítógéppel való párosításához HDB (Huawei Debug Bridge) módot használunk. A Huawei webhelyén vagy magában a HiSuite programban részletes utasítások találhatók a HDB mód aktiválásához mobileszközén. A HDB mód aktiválása után indítsa el a HiSuite alkalmazást mobileszközén, és írja be az ebben az alkalmazásban megjelenő kódot a számítógépén futó HiSuite program ablakába.
Kódbeviteli ablak a HiSuite asztali verziójában:
A biztonsági mentési folyamat során meg kell adnia egy jelszót, amely a készülék memóriájából kinyert adatok védelmére szolgál. A létrehozott biztonsági másolat az útvonal mentén található C:/Felhasználók/%Felhasználói profil%/Dokumentumok/HiSuite/backup/.
Huawei Honor 20 Pro okostelefon biztonsági mentés:
HiSuite biztonsági másolat elemzése a Belkasoft Evidence Center segítségével
Az eredményül kapott biztonsági mentés elemzéséhez a Belkasoft Evidence Center hozzon létre egy új vállalkozást. Ezután válassza ki adatforrásként Mobil kép. A megnyíló menüben adja meg annak a könyvtárnak az elérési útját, ahol az okostelefon biztonsági másolata található, és válassza ki a fájlt info.xml.
A biztonsági mentés elérési útjának megadása:
A következő ablakban a program felkéri, hogy válassza ki a keresendő műtermékek típusát. A vizsgálat elindítása után lépjen a lapra Task Manager és kattintson a gombra Konfigurálja a feladatot, mert a program jelszót vár a titkosított biztonsági másolat visszafejtéséhez.
gomb Konfigurálja a feladatot:
A biztonsági másolat visszafejtése után a Belkasoft Evidence Center felkéri, hogy adja meg újra a kibontandó műtermékek típusait. Az elemzés befejezése után a kinyert műtermékekre vonatkozó információk megtekinthetők a lapokon Case Explorer и Áttekintés .
A Huawei Honor 20 Pro biztonsági mentési elemzésének eredményei:
HiSuite biztonsági mentés elemzése a Mobile Forensic Expert programmal
Egy másik törvényszéki program, amellyel adatok kinyerhetők a HiSuite biztonsági másolatból "Mobil törvényszéki szakértő".
A HiSuite biztonsági másolatban tárolt adatok feldolgozásához kattintson a lehetőségre Biztonsági másolatok importálása a program főablakában.
A „Mobile Forensic Expert” program főablakának részlete:
Vagy a szekcióban behozatal válassza ki az importálandó adatok típusát Huawei biztonsági mentés:
A megnyíló ablakban adja meg a fájl elérési útját info.xml. Amikor elindítja a kibontási eljárást, megjelenik egy ablak, amelyben meg kell adnia egy ismert jelszót a HiSuite biztonsági másolat visszafejtéséhez, vagy a Passware eszközzel próbálja kitalálni ezt a jelszót, ha ismeretlen:
A biztonsági másolat elemzésének eredménye a „Mobile Forensic Expert” programablak lesz, amely megmutatja a kinyert műtermékek típusait: hívások, névjegyek, üzenetek, fájlok, esemény feedek, alkalmazásadatok. Ügyeljen arra, hogy ez a törvényszéki program mennyi adatot nyer ki a különböző alkalmazásokból. Egyszerűen hatalmas!
A HiSuite biztonsági másolatból kinyert adattípusok listája a Mobile Forensic Expert programban:
HiSuite biztonsági mentések visszafejtése
Mi a teendő, ha nincsenek ezek a csodálatos programok? Ebben az esetben a Francesco Picasso, a Reality Net System Solutions munkatársa által kifejlesztett és karbantartott Python szkript segít Önnek. Ezt a forgatókönyvet itt találja meg GitHub, részletesebb leírása pedig itt található cikk "Huawei biztonsági mentési dekódoló."
A visszafejtett HiSuite biztonsági másolat ezután importálható és elemezhető klasszikus kriminalisztikai segédprogramokkal (pl. Boncolás) vagy manuálisan.
Álláspontja
Így a HiSuite biztonsági mentési segédprogrammal nagyságrenddel több adatot nyerhet ki a Huawei okostelefonokból, mint amikor az ADB segédprogrammal ugyanazokról az eszközökről nyer ki adatokat. A mobiltelefonokkal való munkavégzéshez használható nagyszámú segédprogram ellenére a Belkasoft Evidence Center és a Mobile Forensic Expert azon kevés kriminalisztikai programok közé tartoznak, amelyek támogatják a HiSuite biztonsági másolatok kimásolását és elemzését.