Mengekstrak data daripada peranti Android menjadi lebih sukar setiap hari - kadangkala daripada dari iPhone. Igor Mikhailov, pakar di Makmal Forensik Komputer Kumpulan-IB, memberitahu anda apa yang perlu dilakukan jika anda tidak dapat mengekstrak data daripada telefon pintar Android anda menggunakan kaedah standard.
Beberapa tahun yang lalu, rakan sekerja saya dan saya membincangkan trend dalam pembangunan mekanisme keselamatan dalam peranti Android dan membuat kesimpulan bahawa masanya akan tiba apabila siasatan forensik mereka akan menjadi lebih sukar daripada peranti iOS. Dan hari ini kita boleh mengatakan dengan yakin bahawa masa ini telah tiba.
Saya baru-baru ini menyemak Huawei Honor 20 Pro. Pada pendapat anda, apakah yang kami berjaya ekstrak daripada sandarannya yang diperoleh menggunakan utiliti ADB? tiada apa-apa! Peranti penuh dengan data: maklumat panggilan, buku telefon, SMS, pemesejan segera, e-mel, fail multimedia, dsb. Dan anda tidak boleh mengeluarkan semua ini. perasaan yang teruk!
Apa yang perlu dilakukan dalam keadaan sedemikian? Penyelesaian yang baik ialah menggunakan utiliti sandaran proprietari (Mi PC Suite untuk telefon pintar Xiaomi, Samsung Smart Switch untuk Samsung, HiSuite untuk Huawei).
Dalam artikel ini kita akan melihat penciptaan dan pengekstrakan data daripada telefon pintar Huawei menggunakan utiliti HiSuite dan analisis seterusnya menggunakan Pusat Bukti Belkasoft.
Apakah jenis data yang disertakan dalam sandaran HiSuite?
Jenis data berikut disertakan dalam sandaran HiSuite:
- data tentang akaun dan kata laluan (atau token)
- butiran perhubungan
- cabaran
- Mesej SMS dan MMS
- e-mel
- fail multimedia
- Pangkalan data
- dokumentasi
- arkib
- fail aplikasi (fail dengan sambungan.odex, .so, .apk)
- maklumat daripada aplikasi (seperti Facebook, Google Drive, Google Photos, Google Mails, Google Maps, Instagram, WhatsApp, YouTube, dsb.)
Mari lihat dengan lebih terperinci bagaimana sandaran sedemikian dibuat dan cara menganalisisnya menggunakan Pusat Bukti Belkasoft.
Menyandarkan telefon pintar Huawei menggunakan utiliti HiSuite
Untuk membuat salinan sandaran dengan utiliti proprietari, anda perlu memuat turunnya dari tapak web dan pasang.
Halaman muat turun HiSuite di tapak web Huawei:
Untuk memasangkan peranti dengan komputer, mod HDB (Huawei Debug Bridge) digunakan. Terdapat arahan terperinci di tapak web Huawei atau dalam program HiSuite sendiri tentang cara mengaktifkan mod HDB pada peranti mudah alih anda. Selepas mengaktifkan mod HDB, lancarkan aplikasi HiSuite pada peranti mudah alih anda dan masukkan kod yang dipaparkan dalam aplikasi ini ke dalam tetingkap program HiSuite yang berjalan pada komputer anda.
Tetingkap kemasukan kod dalam versi desktop HiSuite:
Semasa proses sandaran, anda akan diminta untuk memasukkan kata laluan, yang akan digunakan untuk melindungi data yang diekstrak daripada memori peranti. Salinan sandaran yang dibuat akan terletak di sepanjang laluan C:/Pengguna/%Profil pengguna%/Dokumen/HiSuite/sandaran/.
Sandaran telefon pintar Huawei Honor 20 Pro:
Menganalisis sandaran HiSuite menggunakan Pusat Bukti Belkasoft
Untuk menganalisis sandaran yang terhasil menggunakan mencipta perniagaan baru. Kemudian pilih sebagai sumber data Imej Mudah Alih. Dalam menu yang terbuka, nyatakan laluan ke direktori tempat sandaran telefon pintar terletak dan pilih fail info.xml.
Menentukan laluan ke sandaran:
Dalam tetingkap seterusnya, program akan menggesa anda untuk memilih jenis artifak yang anda perlu cari. Selepas memulakan imbasan, pergi ke tab Pengurus Tugas dan klik butang Konfigurasikan tugas, kerana program ini mengharapkan kata laluan untuk menyahsulit sandaran yang disulitkan.
Butang Konfigurasikan tugas:
Selepas menyahsulit sandaran, Pusat Bukti Belkasoft akan meminta anda untuk menentukan semula jenis artifak yang perlu diekstrak. Selepas analisis selesai, maklumat tentang artifak yang diekstrak boleh dilihat dalam tab Penjelajah Kes ΠΈ Gambaran Keseluruhan .
Keputusan analisis sandaran Huawei Honor 20 Pro:
Analisis sandaran HiSuite menggunakan program Pakar Forensik Mudah Alih
Satu lagi program forensik yang boleh digunakan untuk mengekstrak data daripada sandaran HiSuite ialah .
Untuk memproses data yang disimpan dalam sandaran HiSuite, klik pada pilihan Mengimport sandaran dalam tetingkap program utama.
Serpihan tetingkap utama program "Pakar Forensik Mudah Alih":
Atau dalam bahagian Import pilih jenis data untuk diimport Sandaran Huawei:
Dalam tetingkap yang terbuka, tentukan laluan ke fail info.xml. Apabila anda memulakan prosedur pengekstrakan, tetingkap akan muncul di mana anda akan diminta sama ada memasukkan kata laluan yang diketahui untuk menyahsulit sandaran HiSuite, atau menggunakan alat Perisian Laluan untuk cuba meneka kata laluan ini jika ia tidak diketahui:
Hasil analisis salinan sandaran akan menjadi tetingkap program "Pakar Forensik Mudah Alih", yang menunjukkan jenis artifak yang diekstrak: panggilan, kenalan, mesej, fail, suapan acara, data aplikasi. Beri perhatian kepada jumlah data yang diekstrak daripada pelbagai aplikasi oleh program forensik ini. Ia hanya besar!
Senarai jenis data yang diekstrak daripada sandaran HiSuite dalam program Pakar Forensik Mudah Alih:
Menyahsulit sandaran HiSuite
Apa yang perlu dilakukan jika anda tidak mempunyai program hebat ini? Dalam kes ini, skrip Python yang dibangunkan dan diselenggara oleh Francesco Picasso, pekerja Reality Net System Solutions, akan membantu anda. Anda boleh mendapatkan skrip ini di , dan huraian yang lebih terperinci terdapat dalam "Penyahsulit sandaran Huawei."
Sandaran HiSuite yang dinyahsulit kemudiannya boleh diimport dan dianalisis menggunakan utiliti forensik klasik (cth. ) atau secara manual.
Penemuan
Oleh itu, menggunakan utiliti sandaran HiSuite, anda boleh mengekstrak susunan magnitud lebih banyak data daripada telefon pintar Huawei berbanding semasa mengekstrak data daripada peranti yang sama menggunakan utiliti ADB. Walaupun terdapat sejumlah besar utiliti untuk bekerja dengan telefon mudah alih, Pusat Bukti Belkasoft dan Pakar Forensik Mudah Alih adalah antara beberapa program forensik yang menyokong pengekstrakan dan analisis sandaran HiSuite.
sumber
Sumber: www.habr.com