Duomenų ištraukimas iš „Android“ įrenginių kasdien tampa sunkesnis – kartais net sunkiaunei iš iPhone. Igoris Michailovas, grupės IB kompiuterių teismo ekspertizės laboratorijos specialistas, nurodo, ką daryti, jei negalite išgauti duomenų iš „Android“ išmaniojo telefono naudodami standartinius metodus.
Prieš keletą metų su kolegomis aptarėme „Android“ įrenginių saugos mechanizmų kūrimo tendencijas ir priėjome prie išvados, kad ateis laikas, kai jų ekspertizė taps sunkesnė nei „iOS“ įrenginių. Ir šiandien galime drąsiai teigti, kad šis laikas atėjo.
Neseniai peržiūrėjau „Huawei Honor 20 Pro“. Kaip manote, ką mums pavyko išgauti iš atsarginės kopijos, gautos naudojant ADB programą? Nieko! Įrenginys pilnas duomenų: skambučių informacijos, telefonų knygos, SMS, momentinių pranešimų, el. pašto, daugialypės terpės failų ir kt. Ir jūs negalite to atsikratyti. Baisus jausmas!
Ką daryti tokioje situacijoje? Geras sprendimas yra naudoti patentuotas atsargines programas („Mi PC Suite“, skirta „Xiaomi“ išmaniesiems telefonams, „Samsung Smart Switch“, skirta „Samsung“, „HiSuite“, skirta „Huawei“).
Šiame straipsnyje apžvelgsime duomenų kūrimą ir ištraukimą iš „Huawei“ išmaniųjų telefonų naudojant „HiSuite“ įrankį ir tolesnę jų analizę naudojant „Belkasoft Evidence Center“.
Kokių tipų duomenys įtraukiami į „HiSuite“ atsargines kopijas?
Į „HiSuite“ atsargines kopijas įtraukiami šių tipų duomenys:
duomenys apie paskyras ir slaptažodžius (arba žetonus)
Kontaktai
iššūkius
SMS ir MMS žinutės
elektroninis paštas
daugialypės terpės failus
Duomenų bazė
dokumentacija
archyvai
programų failai (failai su plėtiniais.odex, .so, . Apžiūros)
informaciją iš programų (tokių kaip „Facebook“, „Google“ diskas, „Google“ nuotraukos, „Google Mails“, „Google“ žemėlapiai, „Instagram“, „WhatsApp“, „YouTube“ ir kt.)
Pažiūrėkime išsamiau, kaip sukuriama tokia atsarginė kopija ir kaip ją analizuoti naudojant „Belkasoft Evidence Center“.
Atsarginės „Huawei“ išmaniojo telefono kopijos kūrimas naudojant „HiSuite“ programą
Norėdami sukurti atsarginę kopiją naudodami patentuotą programą, turite ją atsisiųsti iš svetainės "Huawei" ir įdiegti.
Norint susieti įrenginį su kompiuteriu, naudojamas HDB („Huawei Debug Bridge“) režimas. „Huawei“ svetainėje arba pačioje „HiSuite“ programoje pateikiamos išsamios instrukcijos, kaip mobiliajame įrenginyje suaktyvinti HDB režimą. Suaktyvinę HDB režimą, paleiskite programą HiSuite savo mobiliajame įrenginyje ir įveskite šioje programoje rodomą kodą į kompiuteryje veikiančią HiSuite programos langą.
Kodo įvedimo langas „HiSuite“ darbalaukio versijoje:
Atsarginės kopijos kūrimo metu jūsų bus paprašyta įvesti slaptažodį, kuris bus naudojamas iš įrenginio atminties ištrauktiems duomenims apsaugoti. Sukurta atsarginė kopija bus palei kelią C:/Vartotojai/%Vartotojo profilis%/Dokumentai/HiSuite/atsarginė kopija/.
„HiSuite“ atsarginės kopijos analizė naudojant „Belkasoft“ įrodymų centrą
Norėdami išanalizuoti gautą atsarginę kopiją naudodami Belkasoft įrodymų centras sukurti naują verslą. Tada pasirinkite kaip duomenų šaltinį Mobilusis vaizdas. Atsidariusiame meniu nurodykite kelią į katalogą, kuriame yra išmaniojo telefono atsarginė kopija, ir pasirinkite failą info.xml.
Nurodykite kelią į atsarginę kopiją:
Kitame lange programa paragins pasirinkti artefaktų tipus, kuriuos reikia rasti. Pradėję nuskaitymą, eikite į skirtuką Task Manager " ir spustelėkite mygtuką Konfigūruoti užduotį, nes programa tikisi slaptažodžio, kad iššifruotų užšifruotą atsarginę kopiją.
mygtukas Konfigūruoti užduotį:
Iššifravę atsarginę kopiją, Belkasoft įrodymų centras paprašys iš naujo nurodyti artefaktų, kuriuos reikia išgauti, tipus. Baigę analizę, informaciją apie išgautus artefaktus galima peržiūrėti skirtukuose Case Explorer и Apžvalga .
Norėdami apdoroti duomenis, saugomus HiSuite atsarginėje kopijoje, spustelėkite parinktį Atsarginių kopijų importavimas pagrindiniame programos lange.
Programos „Mobile Forensic Expert“ pagrindinio lango fragmentas:
Arba skyriuje Importuoti pasirinkite importuojamų duomenų tipą „Huawei“ atsarginė kopija:
Atsidariusiame lange nurodykite kelią į failą info.xml. Kai pradėsite išskleidimo procedūrą, pasirodys langas, kuriame jūsų bus paprašyta įvesti žinomą slaptažodį, kad iššifruotumėte HiSuite atsarginę kopiją, arba naudodami Passware įrankį bandysite atspėti šį slaptažodį, jei jis nežinomas:
Atsarginės kopijos analizės rezultatas bus programos „Mobile Forensic Expert“ langas, kuriame rodomi išgautų artefaktų tipai: skambučiai, kontaktai, pranešimai, failai, įvykių kanalas, programos duomenys. Atkreipkite dėmesį į duomenų kiekį, gautą iš įvairių programų, naudojant šią teismo ekspertizės programą. Tai tiesiog didžiulis!
Iš HiSuite atsarginės kopijos ištrauktų duomenų tipų sąrašas Mobile Forensic Expert programoje:
HiSuite atsarginių kopijų iššifravimas
Ką daryti, jei neturite šių nuostabių programų? Tokiu atveju jums padės „Reality Net System Solutions“ darbuotojo Francesco Picasso sukurtas ir prižiūrimas Python scenarijus. Šį scenarijų galite rasti adresu GitHub, o išsamesnis jo aprašymas yra straipsnis „Huawei atsarginės kopijos iššifravimo priemonė“.
Tada iššifruotą „HiSuite“ atsarginę kopiją galima importuoti ir analizuoti naudojant klasikines teismo ekspertizės priemones (pvz., Skrodimas) arba rankiniu būdu.
išvados
Taigi, naudodami „HiSuite“ atsarginių kopijų kūrimo įrankį, iš „Huawei“ išmaniųjų telefonų galite išgauti daug daugiau duomenų nei iš tų pačių įrenginių naudodami ADB priemonę. Nepaisant daugybės paslaugų, skirtų darbui su mobiliaisiais telefonais, „Belkasoft Evidence Center“ ir „Mobile Forensic Expert“ yra vienos iš nedaugelio teismo ekspertizės programų, kurios palaiko „HiSuite“ atsarginių kopijų išgavimą ir analizę.