Það verður erfiðara með hverjum deginum að vinna gögn úr Android tækjum - stundum jafnvel erfiðaraen frá iPhone. Igor Mikhailov, sérfræðingur hjá Group-IB Computer Forensics Laboratory, segir þér hvað þú átt að gera ef þú getur ekki dregið gögn úr Android snjallsímanum þínum með stöðluðum aðferðum.
Fyrir nokkrum árum ræddum við samstarfsmenn mínir þróun öryggiskerfa í Android tækjum og komumst að þeirri niðurstöðu að sá tími kæmi að réttarrannsókn þeirra yrði erfiðari en fyrir iOS tæki. Og í dag getum við sagt með fullvissu að þessi tími sé kominn.
Ég skoðaði nýlega Huawei Honor 20 Pro. Hvað heldurðu að okkur hafi tekist að draga úr öryggisafriti þess sem fékkst með ADB tólinu? Ekkert! Tækið er fullt af gögnum: símtalaupplýsingum, símaskrá, SMS, spjallskilaboðum, tölvupósti, margmiðlunarskrám o.s.frv. Og þú getur ekki fengið neitt af þessu út. Hræðileg tilfinning!
Hvað á að gera í slíkum aðstæðum? Góð lausn er að nota sérstakt öryggisafrit (Mi PC Suite fyrir Xiaomi snjallsíma, Samsung Smart Switch fyrir Samsung, HiSuite fyrir Huawei).
Í þessari grein munum við skoða sköpun og útdrátt gagna úr Huawei snjallsímum með HiSuite tólinu og síðari greiningu þeirra með því að nota Belkasoft Evidence Center.
Hvers konar gögn eru innifalin í HiSuite afritum?
Eftirfarandi tegundir gagna eru innifalin í HiSuite afritum:
gögn um reikninga og lykilorð (eða tákn)
tengiliðaupplýsingar
áskoranir
SMS og MMS skilaboð
E-mail
margmiðlunarskrár
Gagnagrunnur
skjöl
skjalasafn
forritaskrár (skrár með endingum.odex, .so, .apk)
upplýsingar úr forritum (eins og Facebook, Google Drive, Google Photos, Google Mails, Google Maps, Instagram, WhatsApp, YouTube, o.s.frv.)
Við skulum skoða nánar hvernig slíkt öryggisafrit er búið til og hvernig á að greina það með því að nota Belkasoft Evidence Center.
Afritaðu Huawei snjallsíma með því að nota HiSuite tólið
Til að búa til öryggisafrit með sérforriti þarftu að hlaða því niður af vefsíðunni Huawei og setja upp.
HiSuite niðurhalssíða á Huawei vefsíðu:
Til að para tækið við tölvu er HDB (Huawei Debug Bridge) stilling notuð. Það eru nákvæmar leiðbeiningar á Huawei vefsíðunni eða í HiSuite forritinu sjálfu um hvernig á að virkja HDB ham á farsímanum þínum. Eftir að þú hefur virkjað HDB-stillingu skaltu ræsa HiSuite forritið á farsímanum þínum og slá inn kóðann sem birtist í þessu forriti í HiSuite forritsgluggann sem keyrir á tölvunni þinni.
Kóðainnsláttargluggi í skjáborðsútgáfu HiSuite:
Meðan á öryggisafritinu stendur verður þú beðinn um að slá inn lykilorð sem verður notað til að vernda gögnin sem tekin eru út úr minni tækisins. Afritið sem búið er til verður staðsett meðfram stígnum C:/Users/%User profile%/Documents/HiSuite/backup/.
Huawei Honor 20 Pro snjallsímaafrit:
Að greina HiSuite öryggisafrit með Belkasoft Evidence Center
Til að greina afritið sem myndast með því að nota Belkasoft sönnunarmiðstöð stofna nýtt fyrirtæki. Veldu síðan sem gagnagjafa Farsímamynd. Í valmyndinni sem opnast skaltu tilgreina slóðina að möppunni þar sem öryggisafrit snjallsímans er staðsett og velja skrána info.xml.
Að tilgreina slóðina að öryggisafritinu:
Í næsta glugga mun forritið biðja þig um að velja tegundir gripa sem þú þarft að finna. Eftir að skönnun hefur verið hafin, farðu í flipann Verkefnisstjóri og smelltu á hnappinn Stilla verkefni, vegna þess að forritið býst við lykilorði til að afkóða dulkóðaða öryggisafritið.
hnappurinn Stilla verkefni:
Eftir að hafa afkóðað öryggisafritið mun Belkasoft Evidence Center biðja þig um að tilgreina aftur hvaða tegundir gripa þarf að draga út. Eftir að greiningunni er lokið er hægt að skoða upplýsingar um útdregna gripina á flipunum Case Explorer и Yfirlit .
Niðurstöður Huawei Honor 20 Pro öryggisafritsgreiningar:
Greining á HiSuite öryggisafriti með Mobile Forensic Expert forritinu
Annað réttarforrit sem hægt er að nota til að vinna úr gögnum úr HiSuite öryggisafriti er „Farsímaréttarfræðingur“.
Til að vinna úr gögnum sem eru geymd í HiSuite öryggisafriti skaltu smella á valkostinn Flytur inn afrit í aðalforritsglugganum.
Brot af aðalglugga „Mobile Forensic Expert“ forritsins:
Eða í kaflanum Flytja inn veldu tegund innfluttra gagna Huawei öryggisafrit:
Tilgreindu slóðina að skránni í glugganum sem opnast info.xml. Þegar þú byrjar útdráttarferlið birtist gluggi þar sem þú verður beðinn um að slá inn þekkt lykilorð til að afkóða HiSuite öryggisafritið, eða nota Passware tólið til að reyna að giska á þetta lykilorð ef það er óþekkt:
Niðurstaða greiningar á öryggisafritinu verður "Mobile Forensic Expert" forritaglugginn, sem sýnir tegundir útdreginna gripa: símtöl, tengiliði, skilaboð, skrár, viðburðarstraum, umsóknargögn. Gefðu gaum að magni gagna sem dregin er út úr ýmsum forritum með þessu réttarforriti. Það er bara risastórt!
Listi yfir útdrættar gagnategundir úr HiSuite öryggisafriti í Mobile Forensic Expert forritinu:
Afkóða HiSuite öryggisafrit
Hvað á að gera ef þú ert ekki með þessi frábæru forrit? Í þessu tilviki mun Python handrit þróað og viðhaldið af Francesco Picasso, starfsmanni Reality Net System Solutions, hjálpa þér. Þú getur fundið þetta handrit á GitHub, og nánari lýsing þess er í grein "Huawei öryggisafrit af dulkóðun."
Afkóðaða HiSuite öryggisafritið er síðan hægt að flytja inn og greina með því að nota klassísk réttartækni (t.d. Autopsy) eða handvirkt.
Niðurstöður
Þannig, með því að nota HiSuite öryggisafritunartólið, geturðu dregið úr stærðargráðu fleiri gögn úr Huawei snjallsímum en þegar gögn eru tekin út úr sömu tækjum með því að nota ADB tólið. Þrátt fyrir mikinn fjölda tækja til að vinna með farsíma eru Belkasoft Evidence Center og Mobile Forensic Expert meðal fárra réttarforrita sem styðja útdrátt og greiningu á HiSuite afritum.