HiSuite dublējumu kriminālistikas analīze

Datu ieguve no Android ierīcēm katru dienu kļūst grūtāka – dažreiz pat grūtāknekā no iPhone. Igors Mihailovs, Group-IB Datoru kriminālistikas laboratorijas speciālists, norāda, kā rīkoties, ja nevarat iegūt datus no sava Android viedtālruņa, izmantojot standarta metodes.

Pirms vairākiem gadiem ar kolēģiem apspriedām Android ierīču drošības mehānismu attīstības tendences un nonācām pie secinājuma, ka pienāks brīdis, kad viņu kriminālistikas izmeklēšana kļūs grūtāka nekā iOS ierīcēm. Un šodien mēs varam ar pārliecību teikt, ka šis laiks ir pienācis.

Es nesen pārskatīju Huawei Honor 20 Pro. Ko, jūsuprāt, mums izdevās iegūt no tā dublējuma, kas iegūts, izmantojot ADB utilītu? Nekas! Ierīce ir pilna ar datiem: zvanu informācija, tālruņu grāmata, SMS, tūlītējā ziņojumapmaiņa, e-pasts, multivides faili utt. Un jūs to nevarat dabūt ārā. Šausmīga sajūta!

Ko darīt šādā situācijā? Labs risinājums ir izmantot patentētas dublēšanas utilītas (Mi PC Suite Xiaomi viedtālruņiem, Samsung Smart Switch Samsung, HiSuite Huawei).

Šajā rakstā mēs apskatīsim datu izveidi un ieguvi no Huawei viedtālruņiem, izmantojot utilītu HiSuite, un to turpmāko analīzi, izmantojot Belkasoft pierādījumu centru.

Kāda veida dati ir iekļauti HiSuite dublējumkopijās?

HiSuite dublējumkopijās ir iekļauti šādi datu veidi:

• dati par kontiem un parolēm (vai marķieriem)
• Kontakti
• izaicinājumiem
• SMS un MMS ziņas
• e-pasta
• multivides faili
• Datu bāze
• dokumentācija
• arhīvi
• lietojumprogrammu faili (faili ar paplašinājumiem.odex, .so, . APK)
• informācija no lietojumprogrammām (piemēram, Facebook, Google disks, Google fotoattēli, Google Mails, Google Maps, Instagram, WhatsApp, YouTube utt.)

Apskatīsim sīkāk, kā tiek izveidots šāds dublējums un kā to analizēt, izmantojot Belkasoft pierādījumu centru.

Huawei viedtālruņa dublēšana, izmantojot HiSuite utilītu

Lai izveidotu rezerves kopiju ar patentētu utilītu, tā ir jālejupielādē no vietnes Huawei un instalēt.

HiSuite lejupielādes lapa Huawei vietnē:

Lai ierīci savienotu pārī ar datoru, tiek izmantots HDB (Huawei atkļūdošanas tilta) režīms. Sīki izstrādāti norādījumi par HDB režīma aktivizēšanu mobilajā ierīcē ir atrodami Huawei vietnē vai pašā HiSuite programmā. Pēc HDB režīma aktivizēšanas palaidiet lietojumprogrammu HiSuite savā mobilajā ierīcē un ievadiet šajā lietojumprogrammā parādīto kodu datora HiSuite programmas logā.

Koda ievades logs HiSuite darbvirsmas versijā:

Dublēšanas procesa laikā jums tiks lūgts ievadīt paroli, kas tiks izmantota, lai aizsargātu no ierīces atmiņas izvilktos datus. Izveidotā rezerves kopija atradīsies gar ceļu C:/Lietotāji/%Lietotāja profils%/Dokumenti/HiSuite/dublējums/.

Huawei Honor 20 Pro viedtālruņa dublējums:

HiSuite dublējuma analīze, izmantojot Belkasoft pierādījumu centru

Lai analizētu iegūto dublējumu, izmantojot Belkasoft pierādījumu centrs izveidot jaunu biznesu. Pēc tam atlasiet kā datu avotu Mobilais attēls. Atvērtajā izvēlnē norādiet ceļu uz direktoriju, kurā atrodas viedtālruņa dublējums, un atlasiet failu info.xml.

Norādiet ceļu uz dublējumu:

Nākamajā logā programma liks jums izvēlēties artefaktu veidus, kas jums jāatrod. Pēc skenēšanas sākuma dodieties uz cilni Task Manager un noklikšķiniet uz pogas Konfigurēt uzdevumu, jo programma sagaida paroli, lai atšifrētu šifrētu dublējumu.

Poga Konfigurēt uzdevumu:

Pēc dublējuma atšifrēšanas Belkasoft pierādījumu centrs lūgs atkārtoti norādīt izņemamo artefaktu veidus. Kad analīze ir pabeigta, informāciju par iegūtajiem artefaktiem var skatīt cilnēs Case Explorer и Pārskats .

Huawei Honor 20 Pro dublējuma analīzes rezultāti:

HiSuite dublējuma analīze, izmantojot programmu Mobile Forensic Expert

Vēl viena kriminālistikas programma, ko var izmantot, lai iegūtu datus no HiSuite dublējuma, ir "Mobilais tiesu medicīnas eksperts".

Lai apstrādātu datus, kas saglabāti HiSuite dublējumkopijā, noklikšķiniet uz opcijas Dublējumkopiju importēšana programmas galvenajā logā.

Programmas “Mobile Forensic Expert” galvenā loga fragments:

Vai sadaļā Imports atlasiet importējamo datu veidu Huawei dublējums:

Atvērtajā logā norādiet ceļu uz failu info.xml. Kad sākat ekstrakcijas procedūru, tiks parādīts logs, kurā jums tiks lūgts ievadīt zināmu paroli, lai atšifrētu HiSuite dublējumu, vai izmantot Passware rīku, lai mēģinātu uzminēt šo paroli, ja tā nav zināma:

Dublējuma kopijas analīzes rezultāts būs programmas “Mobile Forensic Expert” logs, kurā parādīti izvilkto artefaktu veidi: zvani, kontakti, ziņojumi, faili, notikumu plūsma, lietojumprogrammu dati. Pievērsiet uzmanību datu apjomam, ko šī kriminālistikas programma iegūst no dažādām lietojumprogrammām. Tas ir vienkārši milzīgs!

Programmā Mobile Forensic Expert no HiSuite dublējuma iegūto datu tipu saraksts:

HiSuite dublējumkopiju atšifrēšana

Ko darīt, ja jums nav šo brīnišķīgo programmu? Šajā gadījumā jums palīdzēs Python skripts, ko izstrādājis un uztur Reality Net System Solutions darbinieks Frančesko Pikaso. Šo skriptu varat atrast vietnē GitHub, un tā detalizētāks apraksts ir atrodams raksts "Huawei rezerves atšifrētājs."

Pēc tam atšifrēto HiSuite dublējumu var importēt un analizēt, izmantojot klasiskās kriminālistikas utilītas (piem., Līķa sekcija) vai manuāli.

Atzinumi

Tādējādi, izmantojot HiSuite dublēšanas utilītu, no Huawei viedtālruņiem varat iegūt par vienu lielumu vairāk datu nekā tad, ja iegūstat datus no tām pašām ierīcēm, izmantojot ADB utilītu. Neskatoties uz lielo skaitu utilītu darbam ar mobilajiem tālruņiem, Belkasoft Evidence Center un Mobile Forensic Expert ir vienas no nedaudzajām kriminālistikas programmām, kas atbalsta HiSuite dublējumkopiju izgūšanu un analīzi.

avoti

1. Saskaņā ar detektīva teikto, Android tālruņi tika uzlauzti grūtāk nekā iPhone tālruņi
2. Huawei Hi-Suite
3. Belkasoft pierādījumu centrs
4. Mobilais tiesu medicīnas eksperts
5. Kobackupdec
6. Huawei rezerves atšifrētājs
7. Līķa sekcija

Avots: www.habr.com