Estrarre dati dai dispositivi Android diventa ogni giorno più difficile, a volte addirittura che dall'iPhone. Igor Mikhailov, specialista presso il Laboratorio di Informatica Forense del Gruppo-IB, ti dice cosa fare se non riesci a estrarre i dati dal tuo smartphone Android utilizzando i metodi standard.
Diversi anni fa, io e i miei colleghi abbiamo discusso delle tendenze nello sviluppo dei meccanismi di sicurezza nei dispositivi Android e siamo giunti alla conclusione che sarebbe arrivato il momento in cui le loro indagini forensi sarebbero diventate più difficili che per i dispositivi iOS. E oggi possiamo dire con sicurezza che questo momento è arrivato.
Recentemente ho recensito Huawei Honor 20 Pro. Cosa pensi che siamo riusciti a estrarre dal backup ottenuto utilizzando l'utilità ADB? Niente! Il dispositivo è pieno di dati: informazioni sulle chiamate, rubrica, SMS, messaggistica istantanea, e-mail, file multimediali, ecc. E non puoi far uscire niente di tutto questo. Sensazione terribile!
Cosa fare in una situazione del genere? Una buona soluzione è utilizzare utility di backup proprietarie (Mi PC Suite per smartphone Xiaomi, Samsung Smart Switch per Samsung, HiSuite per Huawei).
In questo articolo esamineremo la creazione e l'estrazione dei dati dagli smartphone Huawei utilizzando l'utility HiSuite e la loro successiva analisi utilizzando Belkasoft Evidence Center.
Quali tipi di dati sono inclusi nei backup di HiSuite?
I seguenti tipi di dati sono inclusi nei backup di HiSuite:
- dati su account e password (o token)
- Contatti
- sfide
- Messaggi SMS e MMS
- file multimediali
- banca dati
- documentazione
- archivi
- file dell'applicazione (file con estensioni.odex, .così, .apk)
- informazioni provenienti da applicazioni (come Facebook, Google Drive, Google Foto, Google Mail, Google Maps, Instagram, WhatsApp, YouTube, ecc.)
Diamo un'occhiata più in dettaglio a come viene creato tale backup e come analizzarlo utilizzando Belkasoft Evidence Center.
Backup di uno smartphone Huawei utilizzando l'utilità HiSuite
Per creare una copia di backup con un'utilità proprietaria, è necessario scaricarla dal sito web e installare.
Pagina di download di HiSuite sul sito Web Huawei:
Per associare il dispositivo a un computer, viene utilizzata la modalità HDB (Huawei Debug Bridge). Sul sito Huawei o nel programma HiSuite stesso sono presenti istruzioni dettagliate su come attivare la modalità HDB sul tuo dispositivo mobile. Dopo aver attivato la modalità HDB, avvia l'applicazione HiSuite sul tuo dispositivo mobile e inserisci il codice visualizzato in questa applicazione nella finestra del programma HiSuite in esecuzione sul tuo computer.
Finestra di immissione del codice nella versione desktop di HiSuite:
Durante la procedura di backup ti verrà chiesto di inserire una password, che verrà utilizzata per proteggere i dati estratti dalla memoria del dispositivo. La copia di backup creata verrà posizionata lungo il percorso C:/Utenti/%Profilo utente%/Documenti/HiSuite/backup/.
Backup dello smartphone Huawei Honor 20 Pro:
Analisi di un backup HiSuite utilizzando Belkasoft Evidence Center
Per analizzare il backup risultante utilizzando creare una nuova attività. Quindi seleziona come origine dati Immagine mobile. Nel menu che si apre, specifica il percorso della directory in cui si trova il backup dello smartphone e seleziona il file info.xml.
Specificare il percorso del backup:
Nella finestra successiva, il programma ti chiederà di selezionare i tipi di artefatti che devi trovare. Dopo aver avviato la scansione, vai alla scheda Gestione attività e fai clic sul pulsante Configura attività, perché il programma prevede una password per decrittografare il backup crittografato.
Pulsante Configura attività:
Dopo aver decrittografato il backup, Belkasoft Evidence Center ti chiederà di specificare nuovamente i tipi di artefatti che devono essere estratti. Una volta completata l'analisi, le informazioni sugli artefatti estratti possono essere visualizzate nelle schede Esplora casi и Panoramica .
Risultati dell'analisi del backup di Huawei Honor 20 Pro:
Analisi di un backup HiSuite utilizzando il programma Mobile Forensic Expert
Un altro programma forense che può essere utilizzato per estrarre dati da un backup di HiSuite è .
Per elaborare i dati archiviati in un backup HiSuite, fare clic sull'opzione Importazione dei backup nella finestra principale del programma.
Frammento della finestra principale del programma “Mobile Forensic Expert”:
Oppure nella sezione importazioni selezionare il tipo di dati importati Backup Huawei:
Nella finestra che si apre, specifica il percorso del file info.xml. Quando avvii la procedura di estrazione, apparirà una finestra in cui ti verrà chiesto di inserire una password conosciuta per decriptare il backup di HiSuite, oppure di utilizzare lo strumento Passware per provare a indovinare questa password se è sconosciuta:
Il risultato dell'analisi della copia di backup sarà la finestra del programma “Mobile Forensic Expert”, che mostra le tipologie di artefatti estratti: chiamate, contatti, messaggi, file, feed di eventi, dati dell'applicazione. Presta attenzione alla quantità di dati estratti da varie applicazioni da questo programma forense. È semplicemente enorme!
Elenco dei tipi di dati estratti dal backup HiSuite nel programma Mobile Forensic Expert:
Decifrare i backup di HiSuite
Cosa fare se non si hanno questi meravigliosi programmi? In questo caso, uno script Python sviluppato e gestito da Francesco Picasso, dipendente di Reality Net System Solutions, ti aiuterà. Puoi trovare questo script su , e la sua descrizione più dettagliata è in "Decodificatore di backup Huawei."
Il backup HiSuite decrittografato può quindi essere importato e analizzato utilizzando le classiche utilità forensi (ad es. ) o manualmente.
risultati
Pertanto, utilizzando l'utilità di backup HiSuite, puoi estrarre un ordine di grandezza in più di dati dagli smartphone Huawei rispetto a quando estrai i dati dagli stessi dispositivi utilizzando l'utilità ADB. Nonostante il gran numero di utilità per lavorare con i telefoni cellulari, Belkasoft Evidence Center e Mobile Forensic Expert sono tra i pochi programmi forensi che supportano l'estrazione e l'analisi dei backup HiSuite.
fonti
Fonte: habr.com