Date vun Android Apparater extrahéieren gëtt all Dag méi schwéier - heiansdo souguer wéi vum iPhone. Igor Mikhailov, Spezialist am Group-IB Computer Forensics Laboratory, seet Iech wat ze maachen wann Dir Daten aus Ärem Android Smartphone net mat Standardmethoden extrahéiert.
Virun e puer Joer hunn meng Kollegen an ech Trends an der Entwécklung vu Sécherheetsmechanismen an Android Apparater diskutéiert a sinn zur Conclusioun komm datt d'Zäit géif kommen wann hir forensesch Enquête méi schwéier wäert ginn wéi fir iOS Apparater. An haut kënne mir mat Vertrauen soen datt dës Zäit komm ass.
Ech hunn viru kuerzem den Huawei Honor 20 Pro iwwerpréift. Wat mengt Dir, datt mir et fäerdeg bruecht hunn aus sengem Backup ze extrahieren, dee mam ADB Utility kritt gouf? Näischt! Den Apparat ass voller Daten: Uruffinformatioun, Telefonbuch, SMS, Direktnoriichten, E-Mail, Multimediadateien, asw. An Dir kënnt näischt vun dëser eraus kréien. Schrecklecht Gefill!
Wat an esou enger Situatioun ze maachen? Eng gutt Léisung ass propriétaire Backup-Utilities ze benotzen (Mi PC Suite fir Xiaomi Smartphones, Samsung Smart Switch fir Samsung, HiSuite fir Huawei).
An dësem Artikel kucke mir d'Schafung an d'Extraktioun vun Daten aus Huawei Smartphones mam HiSuite Utility an hir spéider Analyse mam Belkasoft Evidence Center kucken.
Wéi eng Zorte vun Daten sinn an HiSuite Backups abegraff?
Déi folgend Zorte vun Daten sinn an HiSuite Backups abegraff:
- Daten iwwer Konten a Passwierder (oder Tokens)
- Kontakt Detailer
- Erausfuerderungen
- SMS an MMS Messagen
- Multimedia Dateien
- Datebank
- Dokumenter
- Archiven
- Applikatiounsdateien (Dateien mat Extensiounen.odex, .so, .apk)
- Informatioun vun Uwendungen (wéi Facebook, Google Drive, Google Fotoen, Google Mails, Google Maps, Instagram, WhatsApp, YouTube, etc.)
Loosst eis méi detailléiert kucken wéi sou e Backup erstallt gëtt a wéi een se analyséiert mat Belkasoft Evidence Center.
Backup vun engem Huawei Smartphone mam HiSuite Utility
Fir eng Backupkopie mat engem propriétaire Utility ze kreéieren, musst Dir se vun der Websäit eroflueden an installéieren.
HiSuite Download Säit op Huawei Websäit:
Fir den Apparat mat engem Computer ze koppelen, gëtt den HDB (Huawei Debug Bridge) Modus benotzt. Et gi detailléiert Instruktiounen op der Huawei Websäit oder am HiSuite Programm selwer wéi Dir den HDB Modus op Ärem mobilen Apparat aktivéiert. Nodeems Dir den HDB Modus aktivéiert hutt, start d'HiSuite Applikatioun op Ärem mobilen Apparat a gitt de Code an dëser Applikatioun an der HiSuite Programmfenster déi op Ärem Computer leeft.
Code Entrée Fënster an der Desktop Versioun vun HiSuite:
Wärend dem Backupprozess gitt Dir gefrot fir e Passwuert anzeginn, dat benotzt gëtt fir d'Donnéeën aus dem Gerätspeicher ze schützen. Déi erstallt Backupkopie wäert laanscht de Wee sinn C:/Users/%User profile%/Documents/HiSuite/backup/.
Huawei Honor 20 Pro Smartphone Backup:
Analyse vun engem HiSuite Backup mat Belkasoft Evidence Center
Fir déi doraus resultéierend Backupsatellit analyséieren benotzt en neit Geschäft erstellen. Wielt dann als Datenquell Mobile Bild. Am Menü deen opmaacht, spezifizéiert de Wee an den Dossier wou de Smartphone Backup läit a wielt d'Datei info.xml.
De Wee fir de Backup ze spezifizéieren:
An der nächster Fënster freet de Programm Iech d'Zorte vun Artefakte ze wielen déi Dir braucht ze fannen. Nodeems Dir de Scan gestart hutt, gitt op d'Tab Aufgab Manager a klickt op de Knäppchen Aufgab konfiguréieren, well de Programm e Passwuert erwaart fir de verschlësselte Backup ze entschlësselen.
Knäppchen Aufgab konfiguréieren:
Nom Entschlësselung vum Backup, wäert de Belkasoft Evidence Center Iech froen d'Zorte vun Artefakte ze spezifizéieren déi extrahéiert musse ginn. Nodeems d'Analyse fäerdeg ass, kann d'Informatioun iwwer déi extrahéiert Artefakte an de Tabs gekuckt ginn Fall Explorer и Iwwersiicht .
Huawei Honor 20 Pro Backup Analyse Resultater:
Analyse vun engem HiSuite Backup mam Mobile Forensic Expert Programm
En anere forensesche Programm dee benotzt ka ginn fir Daten aus engem HiSuite Backup ze extrahieren ass .
Fir Daten an engem HiSuite Backup gespäichert ze veraarbecht, klickt op d'Optioun Backupsatellit importéieren an der Haaptprogrammfenster.
Fragment vun der Haaptfenster vum "Mobile Forensic Expert" Programm:
Oder an der Rubrik Importéieren wielt d'Zort vun Daten fir z'importéieren Huawei Backupsatellit:
An der Fënster déi opmaacht, spezifizéiert de Wee fir d'Datei info.xml. Wann Dir d'Extraktiounsprozedur ufänkt, erschéngt eng Fënster an där Dir gefrot gëtt entweder e bekanntt Passwuert anzeginn fir den HiSuite Backup ze entschlësselen, oder de Passware Tool ze benotzen fir dëst Passwuert ze roden wann et onbekannt ass:
D'Resultat vun der Analyse vun der Backupkopie wäert d'Programmfenster "Mobile Forensic Expert" sinn, déi d'Zorte vun extrahéierten Artefakte weist: Uriff, Kontakter, Messagen, Dateien, Eventfeed, Uwendungsdaten. Opgepasst op d'Quantitéit vun Daten aus verschiddenen Uwendungen vun dësem forensesche Programm extrahéiert. Et ass just enorm!
Lëscht vun extrahéierten Datentypen aus HiSuite Backup am Mobile Forensic Expert Programm:
Entschlësselt HiSuite Backups
Wat maache wann Dir dës wonnerbar Programmer net hutt? An dësem Fall hëlleft e Python Skript entwéckelt a gepflegt vum Francesco Picasso, Employé vun Reality Net System Solutions. Dir kënnt dëse Skript fannen op , a seng méi detailléiert Beschreiwung ass an "Huawei Backup Decryptor."
De entschlësselten HiSuite Backup kann dann importéiert an analyséiert ginn mat klassesche forenseschen Utilities (z. ) oder manuell.
Conclusiounen
Also, andeems Dir den HiSuite Backup-Utility benotzt, kënnt Dir eng Uerdnung vun der Gréisst méi Daten aus Huawei Smartphones extrahéieren wéi wann Dir Daten aus deemselwechten Apparat extrahéiert mat dem ADB-Utility. Trotz der grousser Zuel vun Utilities fir mat Handyen ze schaffen, Belkasoft Evidence Center a Mobile Forensic Expert gehéieren zu de puer forensesche Programmer déi d'Extraktioun an d'Analyse vun HiSuite Backups ënnerstëtzen.
Quellen vun Informatiounen
Source: will.com