HiSuite バックアップのフォレンジック分析

Android デバイスからデータを抽出することは日に日に難しくなり、場合によっては より困難iPhoneからよりも。 Igor Mikhailov 氏、Group-IB Computer Forensics Laboratory のスペシャリスト、 標準的な方法を使用して Android スマートフォンからデータを抽出できない場合の対処方法について説明します。

数年前、同僚と私は Android デバイスのセキュリティ メカニズムの開発動向について話し合い、そのフォレンジック調査が iOS デバイスよりも困難になる時代が来るだろうという結論に達しました。 そして今日、私たちはその時が来たと自信を持って言えます。

最近Huawei Honor 20 Proをレビューしました。 ADB ユーティリティを使用して取得したバックアップから何を抽出できたと思いますか? 何もない！ デバイスには、通話情報、電話帳、SMS、インスタント メッセージ、電子メール、マルチメディア ファイルなどのデータが満載です。 そして、これを何も取り出すことはできません。 ひどい気分！

このような状況ではどうすればよいでしょうか? 良い解決策は、独自のバックアップ ユーティリティ (Xiaomi スマートフォンの場合は Mi PC Suite、Samsung の場合は Samsung Smart Switch、Huawei の場合は HiSuite) を使用することです。

この記事では、HiSuite ユーティリティを使用した Huawei スマートフォンからのデータの作成と抽出、およびその後の Belkasoft Evidence Center を使用した分析について説明します。

HiSuite バックアップにはどのような種類のデータが含まれますか?

HiSuite バックアップには次のタイプのデータが含まれます。

• アカウントとパスワード（またはトークン）に関するデータ
• コンタクト
• 課題
• SMS および MMS メッセージ
• 電子メール
• マルチメディアファイル
• データベース
• ドキュメンテーション
• アーカイブ
• アプリケーション ファイル (拡張子が付いているファイル).odex, 。そう, 。APK)
• アプリケーションからの情報 (Facebook、Google ドライブ、Google フォト、Google メール、Google マップ、Instagram、WhatsApp、YouTube など)

このようなバックアップがどのように作成されるか、そして Belkasoft Evidence Center を使用してそれを分析する方法を詳しく見てみましょう。

HiSuite ユーティリティを使用して Huawei スマートフォンをバックアップする

独自のユーティリティを使用してバックアップ コピーを作成するには、Web サイトからダウンロードする必要があります Huawei社 そしてインストールします。

Huawei Web サイトの HiSuite ダウンロード ページ:

デバイスとコンピューターをペアリングするには、HDB (Huawei Debug Bridge) モードが使用されます。 モバイルデバイスで HDB モードをアクティブにする方法については、Huawei の Web サイトまたは HiSuite プログラム自体に詳細な手順が記載されています。 HDB モードをアクティブ化した後、モバイル デバイスで HiSuite アプリケーションを起動し、このアプリケーションに表示されるコードをコンピュータで実行されている HiSuite プログラム ウィンドウに入力します。

HiSuite のデスクトップ バージョンのコード入力ウィンドウ:

バックアップ処理中に、デバイスのメモリから抽出されたデータを保護するために使用されるパスワードの入力を求められます。 作成されたバックアップ コピーはパスに沿って配置されます。 C:/ユーザー/%ユーザー プロファイル%/ドキュメント/HiSuite/バックアップ/.

Huawei Honor 20 Pro スマートフォンのバックアップ:

Belkasoft Evidence Center を使用した HiSuite バックアップの分析

結果のバックアップを分析するには、 ベルカソフト証拠センター 新しいビジネスを生み出す。 次に、データソースとして選択します モバイル画像。 開いたメニューで、スマートフォンのバックアップが配置されているディレクトリへのパスを指定し、ファイルを選択します info.xml.

バックアップへのパスを指定します。

次のウィンドウでは、プログラムは、検索する必要があるアーティファクトのタイプを選択するよう求めます。 スキャンを開始したら、タブに移動します Task Manager ボタンをクリックします タスクの構成なぜなら、プログラムは暗号化されたバックアップを復号化するためにパスワードを期待しているからです。

ボタン タスクの構成:

バックアップを復号化した後、Belkasoft Evidence Center は、抽出する必要があるアーティファクトの種類を再指定するように求めます。 分析が完了すると、抽出されたアーティファクトに関する情報がタブに表示されます。 ケースエクスプローラー и 概要 .

Huawei Honor 20 Proのバックアップ分析結果：

Mobile Forensic Expert プログラムを使用した HiSuite バックアップの分析

HiSuite バックアップからデータを抽出するために使用できる別のフォレンジック プログラムは次のとおりです。 「モバイルフォレンジックエキスパート」.

HiSuite バックアップに保存されているデータを処理するには、オプションをクリックします。 バックアップのインポート メインプログラムウィンドウ内。

「Mobile Forensic Expert」プログラムのメイン ウィンドウの一部:

またはセクション内で 輸入 インポートするデータの種類を選択します ファーウェイのバックアップ:

開いたウィンドウでファイルへのパスを指定します info.xml。 抽出手順を開始すると、HiSuite バックアップを復号化するための既知のパスワードを入力するか、不明な場合は Passware ツールを使用してこのパスワードを推測するよう求めるウィンドウが表示されます。

バックアップ コピーの分析結果は、「Mobile Forensic Expert」プログラム ウィンドウに表示され、抽出されたアーティファクトの種類 (通話、連絡先、メッセージ、ファイル、イベント フィード、アプリケーション データ) が表示されます。 このフォレンジック プログラムによってさまざまなアプリケーションから抽出されるデータの量に注意してください。 それはただ巨大です！

Mobile Forensic Expert プログラムの HiSuite バックアップから抽出されたデータ タイプのリスト:

HiSuite バックアップの復号化

これらの素晴らしいプログラムがない場合はどうすればよいでしょうか? この場合、Reality Net System Solutions の従業員である Francesco Picasso によって開発および保守されている Python スクリプトが役に立ちます。 このスクリプトは次の場所にあります。 GitHubの、その詳細な説明は次のとおりです。 статье 「Huawei バックアップ復号化ツール」

復号化された HiSuite バックアップは、従来のフォレンジック ユーティリティ (例: 剖検）または手動で。

所見

したがって、HiSuite バックアップ ユーティリティを使用すると、ADB ユーティリティを使用して同じデバイスからデータを抽出する場合よりも、はるかに多くのデータを Huawei スマートフォンから抽出できます。 携帯電話を操作するためのユーティリティは多数ありますが、Belkasoft Evidence Center と Mobile Forensic Expert は、HiSuite バックアップの抽出と分析をサポートする数少ないフォレンジック プログラムの XNUMX つです。

ソース

1. 探偵によると、Android 携帯電話は iPhone よりもハッキングされやすい
2. ファーウェイハイスイート
3. ベルカソフト証拠センター
4. モバイルフォレンジックエキスパート
5. コバックアップデック
6. Huawei バックアップ復号化ツール
7. 剖検

出所： habr.com