Analisis forensik serep HiSuite

Extracting data saka piranti Android dadi luwih angel saben dina - kadhangkala malah luwih angeltinimbang saka iPhone. Igor Mikhailov, spesialis ing Laboratorium Forensik Komputer Group-IB, ngandhani apa sing kudu dilakoni yen sampeyan ora bisa extract data saka smartphone Android nggunakake cara standar.

Sawetara taun kepungkur, aku lan kanca-kancaku ngrembug babagan tren pangembangan mekanisme keamanan ing piranti Android lan nyimpulake yen wektune investigasi forensik bakal dadi luwih angel tinimbang piranti iOS. Lan dina iki kita bisa ngomong kanthi yakin yen wektu iki wis teka.

Aku bubar mriksa Huawei Honor 20 Pro. Apa sampeyan mikir sing bisa dijupuk saka cadangan sing dipikolehi nggunakake sarana ADB? ora ana apa-apa! Piranti kasebut kebak data: informasi telpon, buku telpon, SMS, olahpesen cepet, email, file multimedia, lsp. Lan sampeyan ora bisa njaluk iki metu. Koyo elek!

Apa sing kudu ditindakake ing kahanan kaya ngono? Solusi sing apik yaiku nggunakake utilitas cadangan proprietary (Mi PC Suite kanggo smartphone Xiaomi, Samsung Smart Switch kanggo Samsung, HiSuite kanggo Huawei).

Ing artikel iki kita bakal katon ing nggawe lan extraction data saka smartphone Huawei nggunakake utilitas HiSuite lan analisis sakteruse nggunakake Belkasoft Evidence Center.

Jinis data apa sing kalebu ing serep HiSuite?

Jinis data ing ngisor iki kalebu ing serep HiSuite:

• data babagan akun lan sandhi (utawa token)
• rincian kontak
• tantangan
• Pesen SMS lan MMS
• e-mail
• file multimedia
• Database
• dokumen kasebut
• arsip
• file aplikasi (file kanthi ekstensi.odex, .so, WMV)
• informasi saka aplikasi (kayata Facebook, Google Drive, Foto Google, Google Mails, Google Maps, Instagram, WhatsApp, YouTube, lsp.)

Ayo goleki kanthi luwih rinci babagan cara nggawe serep kasebut lan cara nganalisa nggunakake Pusat Bukti Belkasoft.

Nggawe serep smartphone Huawei nggunakake utilitas HiSuite

Kanggo nggawe salinan serep nganggo sarana kepemilikan, sampeyan kudu ngundhuh saka situs web Huawei lan nginstal.

Kaca download HiSuite ing situs web Huawei:

Kanggo masangake piranti karo komputer, mode HDB (Huawei Debug Bridge) digunakake. Ana instruksi rinci ing situs web Huawei utawa ing program HiSuite dhewe babagan cara ngaktifake mode HDB ing piranti seluler sampeyan. Sawise ngaktifake mode HDB, bukak aplikasi HiSuite ing piranti seluler lan ketik kode sing ditampilake ing aplikasi iki menyang jendhela program HiSuite sing mlaku ing komputer.

Jendhela entri kode ing versi desktop HiSuite:

Sajrone proses serep, sampeyan bakal dijaluk ngetik sandhi, sing bakal digunakake kanggo nglindhungi data sing diekstrak saka memori piranti. Salinan serep sing digawe bakal ana ing sadawane dalan C:/Panganggo/%Profil pangguna%/Dokumen/HiSuite/cadangan/.

Gawe serep smartphone Huawei Honor 20 Pro:

Nganalisis cadangan HiSuite nggunakake Pusat Bukti Belkasoft

Kanggo njelasno asil serep nggunakake Pusat Bukti Belkasoft nggawe bisnis anyar. Banjur pilih minangka sumber data Gambar Mobile. Ing menu sing mbukak, nemtokake dalan menyang direktori ing ngendi serep smartphone lan pilih file kasebut info.xml.

Nemtokake path menyang serep:

Ing jendela sabanjure, program bakal njaluk sampeyan milih jinis artefak sing kudu ditemokake. Sawise miwiti scan, pindhah menyang tab Tugas Manager lan klik tombol Konfigurasi tugas, amarga program ngarepake tembung sandhi kanggo dekripsi serep sing dienkripsi.

tombol Konfigurasi tugas:

Sawise dekripsi serep, Pusat Bukti Belkasoft bakal njaluk sampeyan nemtokake maneh jinis artefak sing kudu diekstrak. Sawise analisis rampung, informasi babagan artefak sing diekstrak bisa dideleng ing tab Kasus Explorer и Ringkesan .

Hasil analisis serep Huawei Honor 20 Pro:

Analisis cadangan HiSuite nggunakake program Mobile Forensic Expert

Program forensik liyane sing bisa digunakake kanggo ngekstrak data saka cadangan HiSuite yaiku "Pakar Forensik Seluler".

Kanggo ngolah data sing disimpen ing serep HiSuite, klik pilihan Ngimpor serep ing jendhela program utama.

Fragmen jendela utama program "Pakar Forensik Seluler":

Utawa ing bagean Impor pilih jinis data sing arep diimpor serep Huawei:

Ing jendhela sing mbukak, nemtokake path menyang file info.xml. Nalika sampeyan miwiti prosedur ekstraksi, jendhela bakal katon ing ngendi sampeyan bakal dijaluk ngetik sandhi sing dikenal kanggo dekripsi serep HiSuite, utawa gunakake alat Passware kanggo nyoba ngira tembung sandhi iki yen ora dingerteni:

Asil analisis salinan serep bakal dadi jendela program "Mobile Forensic Expert", sing nuduhake jinis artefak sing diekstrak: telpon, kontak, pesen, file, feed acara, data aplikasi. Priksa manawa jumlah data sing diekstrak saka macem-macem aplikasi dening program forensik iki. Iku mung ageng!

Dhaptar jinis data sing diekstrak saka cadangan HiSuite ing program Pakar Forensik Seluler:

Dekripsi serep HiSuite

Apa sing kudu ditindakake yen sampeyan ora duwe program sing apik iki? Ing kasus iki, skrip Python sing dikembangake lan dikelola dening Francesco Picasso, karyawan Reality Net System Solutions, bakal mbantu sampeyan. Sampeyan bisa nemokake script iki ing GitHub, lan katrangan sing luwih rinci ana ing artikel "Decryptor serep Huawei."

Cadangan HiSuite sing wis didekripsi banjur bisa diimpor lan dianalisis nggunakake utilitas forensik klasik (contone. autopsy) utawa kanthi manual.

temonan

Mangkono, nggunakake sarana serep HiSuite, sampeyan bisa ngekstrak urutan data luwih akeh saka smartphone Huawei tinimbang nalika ngekstrak data saka piranti sing padha nggunakake sarana ADB. Sanajan akeh utilitas kanggo nggarap ponsel, Belkasoft Evidence Center lan Mobile Forensic Expert kalebu sawetara program forensik sing ndhukung ekstraksi lan analisis serep HiSuite.

Sumber informasi

1. Telpon Android Disusupi Luwih Keras tinimbang iPhone Miturut Detektif
2. Huawei Hi-Suite
3. Pusat Bukti Belkasoft
4. Pakar Forensik Mobile
5. Kobackupdec
6. Huawei serep decryptor
7. autopsy

Source: www.habr.com