Mengekstrak data dari perangkat Android menjadi semakin sulit setiap hari - bahkan terkadang daripada dari iPhone. Igor Mikhailov, spesialis di Laboratorium Forensik Komputer Group-IB, memberi tahu Anda apa yang harus dilakukan jika Anda tidak dapat mengekstrak data dari ponsel pintar Android Anda menggunakan metode standar.
Beberapa tahun yang lalu, saya dan rekan kerja membahas tren perkembangan mekanisme keamanan di perangkat Android dan sampai pada kesimpulan bahwa akan tiba saatnya penyelidikan forensik akan menjadi lebih sulit dibandingkan perangkat iOS. Dan hari ini kita dapat mengatakan dengan yakin bahwa waktunya telah tiba.
Saya baru-baru ini mengulas Huawei Honor 20 Pro. Menurut Anda apa yang berhasil kami ekstrak dari cadangan yang diperoleh menggunakan utilitas ADB? Tidak ada apa-apa! Perangkat ini penuh dengan data: informasi panggilan, buku telepon, SMS, pesan instan, email, file multimedia, dll. Dan Anda tidak bisa mengeluarkan semua ini. Perasaan buruk!
Apa yang harus dilakukan dalam situasi seperti ini? Solusi yang baik adalah dengan menggunakan utilitas cadangan berpemilik (Mi PC Suite untuk smartphone Xiaomi, Samsung Smart Switch untuk Samsung, HiSuite untuk Huawei).
Pada artikel ini kita akan melihat pembuatan dan ekstraksi data dari ponsel pintar Huawei menggunakan utilitas HiSuite dan analisis selanjutnya menggunakan Belkasoft Evidence Center.
Jenis data apa saja yang disertakan dalam cadangan HiSuite?
Jenis data berikut disertakan dalam cadangan HiSuite:
- data tentang akun dan kata sandi (atau token)
- kontak
- tantangan
- Pesan SMS dan MMS
- file multimedia
- Basis Data
- dokumentasi
- arsip
- file aplikasi (file dengan ekstensi.odex, .begitu, . Apk)
- informasi dari aplikasi (seperti Facebook, Google Drive, Google Foto, Google Mails, Google Maps, Instagram, WhatsApp, YouTube, dll.)
Mari kita lihat lebih detail bagaimana cadangan tersebut dibuat dan bagaimana menganalisisnya menggunakan Belkasoft Evidence Center.
Mencadangkan ponsel cerdas Huawei menggunakan utilitas HiSuite
Untuk membuat salinan cadangan dengan utilitas berpemilik, Anda perlu mengunduhnya dari situs web dan instal.
Halaman unduh HiSuite di situs web Huawei:
Untuk memasangkan perangkat dengan komputer, mode HDB (Huawei Debug Bridge) digunakan. Ada petunjuk rinci di situs web Huawei atau di program HiSuite itu sendiri tentang cara mengaktifkan mode HDB di perangkat seluler Anda. Setelah mengaktifkan mode HDB, luncurkan aplikasi HiSuite di perangkat seluler Anda dan masukkan kode yang ditampilkan dalam aplikasi ini ke jendela program HiSuite yang berjalan di komputer Anda.
Jendela entri kode di HiSuite versi desktop:
Selama proses pencadangan, Anda akan diminta memasukkan kata sandi, yang akan digunakan untuk melindungi data yang diambil dari memori perangkat. Salinan cadangan yang dibuat akan ditempatkan di sepanjang jalur C:/Pengguna/%Profil pengguna%/Dokumen/HiSuite/cadangan/.
Cadangan ponsel cerdas Huawei Honor 20 Pro:
Menganalisis cadangan HiSuite menggunakan Belkasoft Evidence Center
Untuk menganalisis cadangan yang dihasilkan menggunakan membuat bisnis baru. Kemudian pilih sebagai sumber data Gambar Seluler. Di menu yang terbuka, tentukan jalur ke direktori tempat cadangan ponsel cerdas berada dan pilih file info.xml.
Menentukan jalur ke cadangan:
Di jendela berikutnya, program akan meminta Anda memilih jenis artefak yang perlu Anda temukan. Setelah memulai pemindaian, buka tab Task Manager dan klik tombol Konfigurasikan tugas, karena program mengharapkan kata sandi untuk mendekripsi cadangan terenkripsi.
Tombol Konfigurasikan tugas:
Setelah mendekripsi cadangan, Belkasoft Evidence Center akan meminta Anda menentukan kembali jenis artefak yang perlu diekstraksi. Setelah analisis selesai, informasi tentang artefak yang diekstraksi dapat dilihat di tab Penjelajah Kasus и Ringkasan .
Hasil analisis cadangan Huawei Honor 20 Pro:
Analisis cadangan HiSuite menggunakan program Mobile Forensic Expert
Program forensik lain yang dapat digunakan untuk mengekstrak data dari cadangan HiSuite adalah .
Untuk memproses data yang disimpan dalam cadangan HiSuite, klik opsi Mengimpor cadangan di jendela program utama.
Fragmen jendela utama program “Pakar Forensik Seluler”:
Atau di bagian Impor pilih jenis data yang akan diimpor cadangan Huawei:
Di jendela yang terbuka, tentukan jalur ke file info.xml. Saat Anda memulai prosedur ekstraksi, sebuah jendela akan muncul di mana Anda akan diminta memasukkan kata sandi yang diketahui untuk mendekripsi cadangan HiSuite, atau menggunakan alat Passware untuk mencoba menebak kata sandi ini jika tidak diketahui:
Hasil analisis salinan cadangan akan menjadi jendela program “Mobile Forensic Expert”, yang menunjukkan jenis artefak yang diekstraksi: panggilan, kontak, pesan, file, feed acara, data aplikasi. Perhatikan jumlah data yang diekstraksi dari berbagai aplikasi oleh program forensik ini. Itu sangat besar!
Daftar tipe data yang diekstraksi dari cadangan HiSuite di program Pakar Forensik Seluler:
Mendekripsi cadangan HiSuite
Apa yang harus dilakukan jika Anda tidak memiliki program luar biasa ini? Dalam hal ini, skrip Python yang dikembangkan dan dikelola oleh Francesco Picasso, karyawan Reality Net System Solutions, akan membantu Anda. Anda dapat menemukan skrip ini di , dan penjelasan lebih detailnya ada di "Dekripsi cadangan Huawei."
Cadangan HiSuite yang didekripsi kemudian dapat diimpor dan dianalisis menggunakan utilitas forensik klasik (mis. ) atau secara manual.
Temuan
Jadi, dengan menggunakan utilitas pencadangan HiSuite, Anda dapat mengekstrak lebih banyak data dari ponsel cerdas Huawei dibandingkan saat mengekstrak data dari perangkat yang sama menggunakan utilitas ADB. Meskipun terdapat banyak utilitas untuk bekerja dengan ponsel, Belkasoft Evidence Center dan Mobile Forensic Expert adalah beberapa di antara sedikit program forensik yang mendukung ekstraksi dan analisis cadangan HiSuite.
sumber
Sumber: www.habr.com