Android սարքերից տվյալների կորզումն օրեցօր ավելի դժվար է դառնում, երբեմն նույնիսկ քան iPhone-ից: Իգոր Միխայլով, Group-IB համակարգչային դատաբժշկական փորձաքննության լաբորատորիայի մասնագետ, ասում է ձեզ, թե ինչ անել, եթե չկարողանաք տվյալներ հանել ձեր Android սմարթֆոնից՝ օգտագործելով ստանդարտ մեթոդներ:
Մի քանի տարի առաջ ես և իմ գործընկերները քննարկեցինք Android սարքերում անվտանգության մեխանիզմների զարգացման միտումները և եկանք այն եզրակացության, որ կգա ժամանակը, երբ դրանց դատաբժշկական հետաքննությունը կդառնա ավելի բարդ, քան iOS սարքերի համար: Եվ այսօր վստահաբար կարող ենք ասել, որ եկել է այս ժամանակը։
Վերջերս ես վերանայեցի Huawei Honor 20 Pro-ն: Ի՞նչ եք կարծում, մեզ հաջողվեց քաղել դրա կրկնօրինակից, որը ստացվել է ԱԶԲ կոմունալ ծրագրի միջոցով: Ոչինչ! Սարքը լի է տվյալների՝ զանգերի մասին տեղեկություններ, հեռախոսագիրք, SMS, ակնթարթային հաղորդագրություններ, էլ.փոստ, մուլտիմեդիա ֆայլեր և այլն: Եվ դուք չեք կարող դուրս հանել այս ամենից: Սարսափելի զգացում!
Ի՞նչ անել նման իրավիճակում: Լավ լուծում է օգտագործել պահուստային կոմունալ ծառայություններ (Mi PC Suite Xiaomi սմարթֆոնների համար, Samsung Smart Switch Samsung-ի համար, HiSuite-ի համար Huawei):
Այս հոդվածում մենք կանդրադառնանք Huawei սմարթֆոններից տվյալների ստեղծմանը և արդյունահանմանը, օգտագործելով HiSuite կոմունալ ծրագիրը և դրանց հետագա վերլուծությունը՝ օգտագործելով Belkasoft Evidence Center:
Ի՞նչ տեսակի տվյալներ են ներառված HiSuite-ի կրկնօրինակումներում:
HiSuite-ի կրկնօրինակումներում ներառված են տվյալների հետևյալ տեսակները.
- հաշիվների և գաղտնաբառերի (կամ նշանների) մասին տվյալներ
- կոնտակտներ
- մարտահրավերները
- SMS և MMS հաղորդագրություններ
- մուլտիմեդիա ֆայլեր
- տվյալների բազաներ
- փաստաթղթերով հիմնավորում
- արխիվներ
- հավելվածի ֆայլեր (ընդարձակման ֆայլեր.odex, .որ, .apk)
- տեղեկություններ հավելվածներից (օրինակ՝ Facebook, Google Drive, Google Photos, Google Mails, Google Maps, Instagram, WhatsApp, YouTube և այլն)
Եկեք ավելի մանրամասն նայենք, թե ինչպես է ստեղծվում նման կրկնօրինակը և ինչպես վերլուծել այն՝ օգտագործելով Belkasoft Evidence Center-ը:
Huawei-ի սմարթֆոնի կրկնօրինակում HiSuite ծրագրի միջոցով
Գույքային կոմունալով կրկնօրինակ պատճեն ստեղծելու համար անհրաժեշտ է ներբեռնել այն կայքից և տեղադրել:
HiSuite-ի ներբեռնման էջ Huawei կայքում.
Սարքը համակարգչի հետ զուգակցելու համար օգտագործվում է HDB (Huawei Debug Bridge) ռեժիմը: Huawei-ի կայքում կամ հենց HiSuite ծրագրում կան մանրամասն հրահանգներ, թե ինչպես ակտիվացնել HDB ռեժիմը ձեր բջջային սարքում: HDB ռեժիմն ակտիվացնելուց հետո գործարկեք HiSuite հավելվածը ձեր բջջային սարքում և մուտքագրեք այս հավելվածում ցուցադրված կոդը ձեր համակարգչում աշխատող HiSuite ծրագրի պատուհանում:
Կոդի մուտքագրման պատուհան HiSuite-ի աշխատասեղանի տարբերակում.
Պահուստավորման գործընթացում ձեզանից կպահանջվի մուտքագրել գաղտնաբառ, որը կօգտագործվի սարքի հիշողությունից հանված տվյալները պաշտպանելու համար: Ստեղծված պահուստային պատճենը կտեղակայվի ճանապարհի երկայնքով C:/Users/%User profile%/Documents/HiSuite/backup/.
Huawei Honor 20 Pro սմարթֆոնի կրկնօրինակում.
HiSuite կրկնօրինակի վերլուծություն՝ օգտագործելով Belkasoft Evidence Center-ը
Ստացված կրկնօրինակը վերլուծելու համար՝ օգտագործելով ստեղծել նոր բիզնես. Այնուհետև ընտրեք որպես տվյալների աղբյուր Բջջային պատկեր. Բացվող ընտրացանկում նշեք այն գրացուցակի ուղին, որտեղ գտնվում է սմարթֆոնի կրկնօրինակը և ընտրեք ֆայլը info.xml.
Նշելով պահուստավորման ուղին.
Հաջորդ պատուհանում ծրագիրը կհուշի ձեզ ընտրել արտեֆակտների տեսակները, որոնք դուք պետք է գտնեք: Սկանավորումը սկսելուց հետո անցեք ներդիր Task Manager և սեղմեք կոճակը Կարգավորել առաջադրանքը, քանի որ ծրագիրն ակնկալում է գաղտնաբառ՝ կոդավորված կրկնօրինակը վերծանելու համար։
կոճակ Կարգավորել առաջադրանքը:
Պահուստային պատճենը վերծանելուց հետո Belkasoft Evidence Center-ը ձեզ կխնդրի նորից նշել արտեֆակտների տեսակները, որոնք պետք է հանվեն: Վերլուծության ավարտից հետո արդյունահանված արտեֆակտների մասին տեղեկատվությունը կարող է դիտվել ներդիրներում Case Explorer и Overview .
Huawei Honor 20 Pro-ի կրկնօրինակի վերլուծության արդյունքները.
HiSuite կրկնօրինակի վերլուծություն Mobile Forensic Expert ծրագրի միջոցով
Մեկ այլ դատաբժշկական ծրագիր, որը կարող է օգտագործվել HiSuite-ի կրկնօրինակից տվյալներ հանելու համար .
HiSuite-ի կրկնօրինակում պահված տվյալները մշակելու համար սեղմեք ընտրանքի վրա Պահուստային պատճենների ներմուծում ծրագրի հիմնական պատուհանում:
«Շարժական դատաբժշկական փորձագետ» ծրագրի հիմնական պատուհանի հատվածը.
Կամ բաժնում Ներմուծում ընտրեք ներմուծման համար նախատեսված տվյալների տեսակը Huawei-ի կրկնօրինակում:
Բացվող պատուհանում նշեք ֆայլի ուղին info.xml. Երբ սկսում եք արդյունահանման ընթացակարգը, կհայտնվի մի պատուհան, որտեղ ձեզ կառաջարկվի մուտքագրել հայտնի գաղտնաբառ՝ HiSuite կրկնօրինակը վերծանելու համար, կամ օգտագործել Passware գործիքը՝ փորձելով գուշակել այս գաղտնաբառը, եթե այն անհայտ է.
Պահուստային պատճենի վերլուծության արդյունքը կլինի «Mobile Forensic Expert» ծրագրի պատուհանը, որը ցույց է տալիս արդյունահանված արտեֆակտների տեսակները՝ զանգեր, կոնտակտներ, հաղորդագրություններ, ֆայլեր, իրադարձությունների հոսք, հավելվածի տվյալներ: Ուշադրություն դարձրեք այս դատաբժշկական ծրագրի կողմից տարբեր հավելվածներից արդյունահանվող տվյալների քանակին: Դա պարզապես հսկայական է:
Mobile Forensic Expert ծրագրում HiSuite կրկնօրինակից արդյունահանված տվյալների տեսակների ցանկը.
HiSuite կրկնօրինակների վերծանում
Ի՞նչ անել, եթե չունեք այս հրաշալի ծրագրերը: Այս դեպքում ձեզ կօգնի Python սկրիպտը, որը մշակվել և պահպանվում է Reality Net System Solutions-ի աշխատակից Ֆրանչեսկո Պիկասոյի կողմից։ Դուք կարող եք գտնել այս սցենարը , և դրա ավելի մանրամասն նկարագրությունը գտնվում է «Huawei-ի պահուստային ապակոդավորիչ»:
Ապակոդավորված HiSuite կրկնօրինակը կարող է այնուհետև ներմուծվել և վերլուծվել՝ օգտագործելով դասական դատաբժշկական ծառայությունները (օրինակ. ) կամ ձեռքով:
Արդյունքները
Այսպիսով, օգտագործելով HiSuite պահուստավորման կոմունալ ծրագիրը, կարող եք Huawei սմարթֆոններից ավելի մեծ թվով տվյալներ հանել, քան ADB կոմունալ ծրագրի միջոցով նույն սարքերից տվյալներ հանելիս: Չնայած բջջային հեռախոսների հետ աշխատելու մեծ թվով կոմունալ ծառայություններին, Belkasoft Evidence Center-ը և Mobile Forensic Expert-ը դատաբժշկական մի քանի ծրագրերից են, որոնք աջակցում են HiSuite կրկնօրինակների արդյունահանմանը և վերլուծությանը:
Տեղեկատվության աղբյուրներ
Source: www.habr.com