Het extraheren van gegevens van Android-apparaten wordt elke dag moeilijker – soms zelfs dan vanaf de iPhone. Igor Mikhailov, specialist bij het Group-IB Computer Forensics Laboratory, vertelt u wat u moet doen als u met standaardmethoden geen gegevens van uw Android-smartphone kunt extraheren.
Enkele jaren geleden bespraken mijn collega's en ik trends in de ontwikkeling van beveiligingsmechanismen op Android-apparaten en kwamen tot de conclusie dat de tijd zou komen dat hun forensisch onderzoek moeilijker zou worden dan voor iOS-apparaten. En vandaag kunnen we met vertrouwen zeggen dat deze tijd is aangebroken.
Ik heb onlangs de Huawei Honor 20 Pro beoordeeld. Wat denk je dat we hebben kunnen halen uit de back-up die is verkregen met het ADB-hulpprogramma? Niets! Het toestel staat boordevol gegevens: oproepinformatie, telefoonboek, sms, instant messaging, e-mail, multimediabestanden, enz. En je krijgt er niets van weg. Vreselijk gevoel!
Wat te doen in zo’n situatie? Een goede oplossing is het gebruik van eigen back-uphulpprogramma's (Mi PC Suite voor Xiaomi-smartphones, Samsung Smart Switch voor Samsung, HiSuite voor Huawei).
In dit artikel zullen we kijken naar het creëren en extraheren van gegevens van Huawei-smartphones met behulp van het HiSuite-hulpprogramma en de daaropvolgende analyse ervan met behulp van Belkasoft Evidence Center.
Welke soorten gegevens zijn opgenomen in HiSuite-back-ups?
De volgende soorten gegevens worden opgenomen in HiSuite-back-ups:
- gegevens over accounts en wachtwoorden (of tokens)
- contacten
- uitdagingen
- SMS- en MMS-berichten
- multimediabestanden
- Database
- documentatie
- archieven
- applicatiebestanden (bestanden met de extensie. Odex, .zo, . Apk)
- informatie uit applicaties (zoals Facebook, Google Drive, Google Photos, Google Mails, Google Maps, Instagram, WhatsApp, YouTube, etc.)
Laten we in meer detail bekijken hoe een dergelijke back-up wordt gemaakt en hoe deze kan worden geanalyseerd met behulp van Belkasoft Evidence Center.
Een back-up maken van een Huawei-smartphone met het hulpprogramma HiSuite
Om een reservekopie te maken met een eigen hulpprogramma, moet u deze downloaden van de website en installeren.
HiSuite-downloadpagina op de Huawei-website:
Om het apparaat met een computer te koppelen, wordt de HDB-modus (Huawei Debug Bridge) gebruikt. Er zijn gedetailleerde instructies op de Huawei-website of in het HiSuite-programma zelf over hoe u de HDB-modus op uw mobiele apparaat activeert. Nadat u de HDB-modus hebt geactiveerd, start u de HiSuite-applicatie op uw mobiele apparaat en voert u de code in die in deze applicatie wordt weergegeven in het HiSuite-programmavenster op uw computer in.
Code-invoervenster in de desktopversie van HiSuite:
Tijdens het back-upproces wordt u gevraagd een wachtwoord in te voeren, dat wordt gebruikt om de gegevens te beschermen die uit het apparaatgeheugen zijn gehaald. De gemaakte back-upkopie bevindt zich langs het pad C:/Gebruikers/%Gebruikersprofiel%/Documenten/HiSuite/backup/.
Back-up van Huawei Honor 20 Pro-smartphone:
Analyseren van een HiSuite-back-up met behulp van Belkasoft Evidence Center
Om de resulterende back-up te analyseren met behulp van een nieuw bedrijf creëren. Selecteer vervolgens als gegevensbron Mobiele afbeelding. Geef in het geopende menu het pad op naar de map waar de smartphoneback-up zich bevindt en selecteer het bestand info.xml.
Het pad naar de back-up opgeven:
In het volgende venster zal het programma u vragen de soorten artefacten te selecteren die u moet vinden. Ga na het starten van de scan naar het tabblad Task Manager en klik op de knop Taak configureren, omdat het programma een wachtwoord verwacht om de gecodeerde back-up te decoderen.
Knop Taak configureren:
Na het ontsleutelen van de back-up zal Belkasoft Evidence Center u vragen om opnieuw de typen artefacten op te geven die moeten worden geëxtraheerd. Nadat de analyse is voltooid, kan informatie over de geëxtraheerde artefacten op de tabbladen worden bekeken Casusverkenner и Overzicht .
Huawei Honor 20 Pro back-upanalyseresultaten:
Analyse van een HiSuite-back-up met behulp van het Mobile Forensic Expert-programma
Een ander forensisch programma dat kan worden gebruikt om gegevens uit een HiSuite-back-up te extraheren is .
Om gegevens die zijn opgeslagen in een HiSuite-back-up te verwerken, klikt u op de optie Back-ups importeren in het hoofdprogrammavenster.
Fragment van het hoofdvenster van het programma “Mobile Forensic Expert”:
Of in de sectie Importeren selecteer het type gegevens dat u wilt importeren Huawei-back-up:
Geef in het geopende venster het pad naar het bestand op info.xml. Wanneer u de extractieprocedure start, verschijnt er een venster waarin u wordt gevraagd een bekend wachtwoord in te voeren om de HiSuite-back-up te decoderen, of de Passware-tool te gebruiken om te proberen dit wachtwoord te raden als het onbekend is:
Het resultaat van de analyse van de back-upkopie is het programmavenster "Mobile Forensic Expert", waarin de soorten geëxtraheerde artefacten worden weergegeven: oproepen, contacten, berichten, bestanden, gebeurtenisfeed, applicatiegegevens. Let op de hoeveelheid gegevens die dit forensische programma uit verschillende applicaties haalt. Het is gewoon enorm!
Lijst met geëxtraheerde gegevenstypen uit HiSuite-back-up in het Mobile Forensic Expert-programma:
HiSuite-back-ups decoderen
Wat moet u doen als u deze prachtige programma's niet heeft? In dit geval zal een Python-script ontwikkeld en onderhouden door Francesco Picasso, een medewerker van Reality Net System Solutions, u helpen. Je kunt dit script vinden op , en de meer gedetailleerde beschrijving ervan staat in "Huawei back-updecryptor."
De gedecodeerde HiSuite-back-up kan vervolgens worden geïmporteerd en geanalyseerd met behulp van klassieke forensische hulpprogramma's (bijv. ) of handmatig.
Bevindingen
Met behulp van het HiSuite-back-uphulpprogramma kunt u dus een orde van grootte meer gegevens van Huawei-smartphones extraheren dan wanneer u gegevens van dezelfde apparaten extraheert met behulp van het ADB-hulpprogramma. Ondanks het grote aantal hulpprogramma's voor het werken met mobiele telefoons, behoren Belkasoft Evidence Center en Mobile Forensic Expert tot de weinige forensische programma's die de extractie en analyse van HiSuite-back-ups ondersteunen.
bronnen
Bron: www.habr.com