HiSuite сақтық көшірмелерін криминалистикалық талдау
Android құрылғыларынан деректерді шығару күн сайын қиындап барады - кейде тіпті қиынырақiPhone-ға қарағанда. Игорь Михайлов, Group-IB компьютерлік сот сараптамасы зертханасының маманы, стандартты әдістерді пайдаланып Android смартфонынан деректерді шығарып алмасаңыз не істеу керектігін айтады.
Бірнеше жыл бұрын мен және менің әріптестерім Android құрылғыларындағы қауіпсіздік тетіктерін дамыту тенденцияларын талқылап, олардың сот сараптамасы iOS құрылғыларына қарағанда қиынырақ болатын уақыт келеді деген қорытындыға келдік. Ал бүгін біз бұл уақыт келді деп сеніммен айта аламыз.
Мен жақында Huawei Honor 20 Pro телефонын қарап шықтым. ADB утилитасының көмегімен алынған сақтық көшірмеден нені шығара алдық деп ойлайсыз? Ештеңе! Құрылғы деректерге толы: қоңыраулар туралы ақпарат, телефон кітапшасы, SMS, жылдам хабар алмасу, электрондық пошта, мультимедиялық файлдар және т.б. Ал сіз мұның ешқайсысын шығара алмайсыз. Қорқынышты сезім!
Мұндай жағдайда не істеу керек? Жақсы шешім - резервтік көшірменің меншікті утилиталарын пайдалану (Xiaomi смартфондарына арналған Mi PC Suite, Samsung үшін Samsung Smart Switch, Huawei үшін HiSuite).
Бұл мақалада біз HiSuite утилитасының көмегімен Huawei смартфондарынан деректерді жасауды және алуды және оларды Belkasoft Дәлелдеме Орталығының көмегімен кейінгі талдауды қарастырамыз.
HiSuite сақтық көшірмелеріне қандай деректер түрлері кіреді?
HiSuite сақтық көшірмелеріне келесі деректер түрлері кіреді:
тіркелгілер мен құпия сөздер (немесе белгілер) туралы деректер
Байланыс
проблемалар
SMS және MMS хабарламалары
электрондық пошта
мультимедиялық файлдар
деректер базасы
құжаттар
мұрағаттар
қолданбалы файлдар (кеңейтімдері бар файлдар.odex, .so, .apk)
қолданбалардағы ақпарат (мысалы, Facebook, Google Drive, Google Photos, Google Mails, Google Maps, Instagram, WhatsApp, YouTube және т.б.)
Мұндай сақтық көшірменің қалай жасалатынын және оны Belkasoft Evidence Center көмегімен қалай талдауға болатынын толығырақ қарастырайық.
HiSuite утилитасын пайдаланып Huawei смартфонының сақтық көшірмесін жасау
Меншікті қызметтік бағдарламамен сақтық көшірме жасау үшін оны веб-сайттан жүктеп алу керек Huawei және орнату.
Huawei веб-сайтындағы HiSuite жүктеп алу беті:
Құрылғыны компьютермен жұптау үшін HDB (Huawei Debug Bridge) режимі пайдаланылады. Huawei веб-сайтында немесе HiSuite бағдарламасының өзінде мобильді құрылғыда HDB режимін қалай қосу керектігі туралы толық нұсқаулар бар. HDB режимін іске қосқаннан кейін мобильді құрылғыда HiSuite қолданбасын іске қосыңыз және осы қолданбада көрсетілген кодты компьютерде жұмыс істейтін HiSuite бағдарламасының терезесіне енгізіңіз.
HiSuite жұмыс үстелі нұсқасындағы кодты енгізу терезесі:
Сақтық көшірме жасау барысында сізден құрылғы жадынан алынған деректерді қорғау үшін пайдаланылатын құпия сөзді енгізу сұралады. Жасалған сақтық көшірме жол бойында орналасады C:/Пайдаланушылар/%Пайдаланушы профилі%/Құжаттар/HiSuite/сақтық көшірме/.
Huawei Honor 20 Pro смартфонының сақтық көшірмесі:
Belkasoft Evidence Center көмегімен HiSuite сақтық көшірмесін талдау
Алынған сақтық көшірмені талдау үшін Belkasoft дәлелдер орталығы жаңа бизнес құру. Содан кейін деректер көзі ретінде таңдаңыз Мобильді кескін. Ашылатын мәзірде смартфонның сақтық көшірмесі орналасқан каталогқа жолды көрсетіңіз және файлды таңдаңыз info.xml.
Сақтық көшірмеге жолды көрсету:
Келесі терезеде бағдарлама сізге табу керек артефактілердің түрлерін таңдауды ұсынады. Сканерлеуді бастағаннан кейін қойындыға өтіңіз Тапсырмалар менеджері және түймесін басыңыз Тапсырманы конфигурациялау, себебі бағдарлама шифрланған сақтық көшірменің шифрын ашу үшін құпия сөзді күтеді.
түйме Тапсырманы конфигурациялау:
Сақтық көшірменің шифрын шешкеннен кейін Belkasoft Evidence Center сізден шығарып алу қажет артефактілердің түрлерін қайта көрсетуді сұрайды. Талдау аяқталғаннан кейін алынған артефактілер туралы ақпаратты қойындыларда көруге болады Case Explorer и қайта қарау .
Huawei Honor 20 Pro сақтық көшірме талдауының нәтижелері:
Mobile Forensic Expert бағдарламасы арқылы HiSuite сақтық көшірмесін талдау
HiSuite сақтық көшірмесінен деректерді алу үшін пайдаланылуы мүмкін тағы бір криминалистикалық бағдарлама «Мобильді сот сарапшысы».
HiSuite сақтық көшірмесінде сақталған деректерді өңдеу үшін опцияны басыңыз Сақтық көшірмелерді импорттау бағдарламаның негізгі терезесінде.
«Мобильді сот сараптамасы» бағдарламасының негізгі терезесінің фрагменті:
Немесе бөлімде Импорттау импортталған деректер түрін таңдаңыз Huawei сақтық көшірмесі:
Ашылған терезеде файлға жолды көрсетіңіз info.xml. Шығару процедурасын бастағанда, HiSuite сақтық көшірмесінің шифрын шешу үшін белгілі құпия сөзді енгізу немесе белгісіз болса, құпия сөзді табу үшін Passware құралын пайдалану сұралатын терезе пайда болады:
Сақтық көшірмені талдау нәтижесі шығарылған артефактілердің түрлерін көрсететін «Мобильді сот сараптамасы» бағдарламасының терезесі болады: қоңыраулар, контактілер, хабарлар, файлдар, оқиғалар арнасы, қолданба деректері. Осы криминалистикалық бағдарлама арқылы әртүрлі қолданбалардан алынған деректер көлеміне назар аударыңыз. Бұл өте үлкен!
Мобильді сот сараптамасы бағдарламасындағы HiSuite сақтық көшірмесінен алынған деректер түрлерінің тізімі:
HiSuite сақтық көшірмелерінің шифрын шешу
Егер сізде бұл тамаша бағдарламалар болмаса, не істеу керек? Бұл жағдайда Reality Net System Solutions компаниясының қызметкері Франческо Пикассо әзірлеген және жүргізген Python сценарийі сізге көмектеседі. Бұл сценарийді мына жерден таба аласыз GitHub, және оның толығырақ сипаттамасы мынада мақала «Huawei сақтық көшірме дешифраторы».
Шифры шешілген HiSuite сақтық көшірмесін классикалық криминалистикалық утилиталар арқылы импорттауға және талдауға болады (мысалы, Аутопсия) немесе қолмен.
қорытындылар
Осылайша, HiSuite сақтық көшірме жасау утилитасын пайдаланып, ADB қызметтік бағдарламасын пайдаланып бір құрылғылардан деректерді шығарғанға қарағанда, Huawei смартфондарынан көбірек деректерді шығаруға болады. Ұялы телефондармен жұмыс істеуге арналған утилиталардың көптігіне қарамастан, Belkasoft Evidence Center және Mobile Forensic Expert HiSuite сақтық көшірмелерін шығаруды және талдауды қолдайтын бірнеше сот сараптамалық бағдарламаларының бірі болып табылады.