L-estrazzjoni tad-dejta minn apparati Android qed issir aktar diffiċli kuljum - xi kultant anke aktar diffiċlimilli mill-iPhone. Igor Mikhailov, speċjalista fil-Laboratorju tal-Forensika tal-Kompjuter tal-Grupp-IB, jgħidlek x'għandek tagħmel jekk ma tistax tiġbed data mill-ismartphone Android tiegħek billi tuża metodi standard.
Bosta snin ilu, jien u l-kollegi tiegħi ddiskutejna xejriet fl-iżvilupp ta 'mekkaniżmi ta' sigurtà fl-apparati Android u wasal għall-konklużjoni li wasal iż-żmien meta l-investigazzjoni forensika tagħhom issir aktar diffiċli milli għal apparati iOS. U llum nistgħu ngħidu b’fiduċja li wasal dan iż-żmien.
Dan l-aħħar irrevejt il-Huawei Honor 20 Pro. X'taħseb li rnexxielna nġibu mill-backup tiegħu miksub bl-użu tal-utilità ADB? Xejn! L-apparat huwa mimli dejta: informazzjoni dwar is-sejħiet, ktieb tat-telefon, SMS, messaġġi istantaneji, email, fajls multimedjali, eċċ. U ma tistax toħroġ xejn minn dan. Tħossok terribbli!
X'għandek tagħmel f'sitwazzjoni bħal din? Soluzzjoni tajba hija li tuża utilitajiet ta 'backup proprjetarji (Mi PC Suite għal smartphones Xiaomi, Samsung Smart Switch għal Samsung, HiSuite għal Huawei).
F'dan l-artikolu se nħarsu lejn il-ħolqien u l-estrazzjoni ta 'dejta minn smartphones Huawei bl-użu tal-utilità HiSuite u l-analiżi sussegwenti tagħhom bl-użu taċ-Ċentru ta' Evidenza ta 'Belkasoft.
X'tipi ta' dejta huma inklużi fil-backups ta' HiSuite?
It-tipi ta' dejta li ġejjin huma inklużi fil-backups ta' HiSuite:
informazzjoni minn applikazzjonijiet (bħal Facebook, Google Drive, Google Photos, Google Mails, Google Maps, Instagram, WhatsApp, YouTube, eċċ.)
Ejja nħarsu f'aktar dettall lejn kif tinħoloq backup bħal dan u kif tanalizzaha bl-użu ta' Belkasoft Evidence Center.
Tappoġġja smartphone Huawei billi tuża l-utilità HiSuite
Biex toħloq kopja ta 'backup b'utilità proprjetarja, trid tniżżilha mill-websajt Huawei u tinstalla.
Il-paġna tat-tniżżil ta' HiSuite fuq il-websajt ta' Huawei:
Biex tgħaqqad l-apparat ma 'kompjuter, tintuża l-modalità HDB (Huawei Debug Bridge). Hemm struzzjonijiet dettaljati fuq il-websajt Huawei jew fil-programm HiSuite innifsu dwar kif tattiva l-modalità HDB fuq it-tagħmir mobbli tiegħek. Wara li tattiva l-modalità HDB, iniedi l-applikazzjoni HiSuite fuq it-tagħmir mobbli tiegħek u daħħal il-kodiċi murija f'din l-applikazzjoni fit-tieqa tal-programm HiSuite li taħdem fuq il-kompjuter tiegħek.
Tieqa tad-dħul tal-kodiċi fil-verżjoni tad-desktop ta' HiSuite:
Matul il-proċess tal-backup, inti tintalab li tidħol password, li se tintuża biex tipproteġi d-dejta estratta mill-memorja tal-apparat. Il-kopja tal-backup maħluqa se tkun tinsab tul il-mogħdija C:/Utenti/%Profil tal-Utent%/Dokumenti/HiSuite/backup/.
Backup tal-ismartphone Huawei Honor 20 Pro:
L-analiżi ta' backup HiSuite bl-użu ta' Belkasoft Evidence Center
Biex tanalizza l-backup li jirriżulta bl-użu Ċentru ta' Evidenza ta' Belkasoft toħloq negozju ġdid. Imbagħad agħżel bħala s-sors tad-dejta Immaġni mobbli. Fil-menu li tiftaħ, speċifika t-triq għad-direttorju fejn tinsab il-backup tal-ismartphone u agħżel il-fajl info.xml.
Tispeċifika t-triq għall-backup:
Fit-tieqa li jmiss, il-programm iqanqlek tagħżel it-tipi ta 'artifacts li għandek bżonn issib. Wara li tibda l-iskan, mur fit-tab Task Manager u kklikkja l-buttuna Ikkonfigura l-kompitu, minħabba li l-programm jistenna password biex jiddeċifra l-backup encrypted.
Buttuna Ikkonfigura l-kompitu:
Wara d-decrypting tal-backup, Belkasoft Evidence Center se jgħidlek biex tispeċifika mill-ġdid it-tipi ta 'artifacts li jeħtieġ li jiġu estratti. Wara li titlesta l-analiżi, l-informazzjoni dwar l-artifacts estratti tista 'tara fit-tabs Każ Explorer и Ħarsa ġenerali .
Jew fit-taqsima Importa agħżel it-tip ta' data importata backup Huawei:
Fit-tieqa li tiftaħ, speċifika t-triq għall-fajl info.xml. Meta tibda l-proċedura ta' estrazzjoni, se tidher tieqa li fiha se tintalab jew iddaħħal password magħrufa biex tiddikriptja l-backup ta' HiSuite, jew tuża l-għodda Passware biex tipprova taqta' din il-password jekk ma tkunx magħrufa:
Ir-riżultat tal-analiżi tal-kopja tal-backup se jkun it-tieqa tal-programm "Mobile Forensic Expert", li turi t-tipi ta 'artifacts estratti: sejħiet, kuntatti, messaġġi, fajls, għalf tal-avvenimenti, data tal-applikazzjoni. Oqgħod attent għall-ammont ta 'dejta estratta minn diversi applikazzjonijiet minn dan il-programm forensiku. Huwa biss enormi!
Lista ta’ tipi ta’ data estratti minn backup HiSuite fil-programm Mobile Forensic Expert:
Iddeċifrar backups HiSuite
X'għandek tagħmel jekk ma jkollokx dawn il-programmi mill-isbaħ? F'dan il-każ, script Python żviluppat u miżmum minn Francesco Picasso, impjegat ta' Reality Net System Solutions, jgħinek. Tista' ssib din l-iskrittura fuq GitHub, u d-deskrizzjoni aktar dettaljata tagħha tinsab fi artikolu "Huawei backup decryptor."
Il-backup HiSuite decrypted jista’ mbagħad jiġi importat u analizzat bl-użu ta’ utilitajiet forensiċi klassiċi (eż. Awtopsja) jew manwalment.
Sejbiet
Għalhekk, billi tuża l-utilità ta 'backup HiSuite, tista' tiġbed ordni ta 'kobor aktar dejta minn smartphones Huawei milli meta tiġbed dejta mill-istess apparat billi tuża l-utilità ADB. Minkejja n-numru kbir ta 'utilitajiet biex taħdem ma' telefowns ċellulari, Belkasoft Evidence Center u Mobile Forensic Expert huma fost il-ftit programmi forensiċi li jappoġġjaw l-estrazzjoni u l-analiżi ta 'backups HiSuite.