Rettsmedisinsk analyse av HiSuite-sikkerhetskopier
Å trekke ut data fra Android-enheter blir vanskeligere for hver dag – noen ganger til og med vanskeligere, чем из iPhone. Igor Mikhailov, spesialist ved Group-IB Computer Forensics Laboratory, forteller deg hva du skal gjøre hvis du ikke kan trekke ut data fra Android-smarttelefonen din med standardmetoder.
For flere år siden diskuterte kollegene mine og jeg trender i utviklingen av sikkerhetsmekanismer i Android-enheter og kom til den konklusjonen at tiden ville komme da deres rettsmedisinske etterforskning ville bli vanskeligere enn for iOS-enheter. Og i dag kan vi med sikkerhet si at denne tiden er inne.
Недавно я исследовал Huawei Honor 20 Pro. Как вы думаете, что удалось извлечь из его резервной копии, полученной с помощью утилиты ADB? Ничего! В устройстве полно данных: информация о вызовах, телефонная книга, SMS, переписка в мессенджерах, электронная почта, мультимедийные файлы и т.д. А вы не можете ничего этого извлечь. Ужасные ощущения!
Hva skal man gjøre i en slik situasjon? En god løsning er å bruke proprietære sikkerhetskopieringsverktøy (Mi PC Suite for Xiaomi-smarttelefoner, Samsung Smart Switch for Samsung, HiSuite for Huawei).
I denne artikkelen vil vi se på opprettelse og utvinning av data fra Huawei-smarttelefoner ved å bruke HiSuite-verktøyet og deres påfølgende analyse ved hjelp av Belkasoft Evidence Center.
Hvilke typer data er inkludert i HiSuite-sikkerhetskopier?
Følgende typer data er inkludert i HiSuite-sikkerhetskopier:
data om kontoer og passord (eller tokens)
kontakter
utfordringer
SMS- и MMS-сообщения
e-post
multimediefiler
Database
dokumentasjon
arkiv
programfiler (filer med utvidelser.odex, .så, . APK)
informasjon fra applikasjoner (som Facebook, Google Disk, Google Photos, Google Mails, Google Maps, Instagram, WhatsApp, YouTube, etc.)
Разберем более подробно, как создается такая резервная копия и как ее проанализировать с помощью Belkasoft Evidence Center.
Создание резервной копии смартфона Huawei с помощью утилиты HiSuite
For å lage en sikkerhetskopi med et proprietært verktøy, må du laste det ned fra nettstedet Huawei og installere.
Страница загрузки программы HiSuite на сайте Huawei:
For å pare enheten med en datamaskin, brukes HDB (Huawei Debug Bridge)-modus. Det er detaljerte instruksjoner på Huawei-nettstedet eller i selve HiSuite-programmet om hvordan du aktiverer HDB-modus på din mobile enhet. Etter å ha aktivert HDB-modus, start HiSuite-applikasjonen på mobilenheten din og skriv inn koden som vises i denne applikasjonen i HiSuite-programvinduet som kjører på datamaskinen.
Kodeinntastingsvindu i skrivebordsversjonen av HiSuite:
В процессе создания резервной копии потребуется ввести пароль, который будет использоваться для защиты данных, извлеченных из памяти устройства. Созданная резервная копия будет располагаться по пути C:/Users/%User profile%/Documents/HiSuite/backup/.
Huawei Honor 20 Pro-sikkerhetskopi for smarttelefon:
Analysere en HiSuite-sikkerhetskopi ved hjelp av Belkasoft Evidence Center
For å analysere den resulterende sikkerhetskopien ved å bruke Belkasoft Evidence Center opprette en ny virksomhet. Velg deretter som datakilde Mobil bilde. В открывшемся меню укажите путь до каталога, где размещается резервная копия смартфона, и выберите файл info.xml.
Angi banen til sikkerhetskopien:
В следующем окне программа предложит выбрать типы артефактов, которые необходимо найти. После запуска сканирования перейдите во вкладку Task manager og klikk på knappen Konfigurer oppgave, fordi programmet forventer et passord for å dekryptere den krypterte sikkerhetskopien.
knapp Konfigurer oppgave:
Etter å ha dekryptert sikkerhetskopien, vil Belkasoft Evidence Center be deg spesifisere på nytt hvilke typer artefakter som må pakkes ut. Etter at analysen er fullført, kan informasjon om de utpakkede artefaktene sees i fanene Case Explorer и Oversikt .
Huawei Honor 20 Pro backup analyseresultater:
Analyse av en HiSuite backup ved hjelp av programmet Mobile Forensic Expert
Et annet rettsmedisinsk program som kan brukes til å trekke ut data fra en HiSuite-sikkerhetskopi er "Mobil rettsmedisinsk ekspert".
Чтобы обработать данные, находящиеся в резервной копии HiSuite, кликните на опцию Импорт резервных копий в главном окне программы.
Fragment av hovedvinduet til "Mobile Forensic Expert"-programmet:
Eller i seksjonen Importen velg typen data som skal importeres Резервная копия Huawei:
Angi banen til filen i vinduet som åpnes info.xml. Når du starter utvinningsprosedyren, vises et vindu der du blir bedt om enten å angi et kjent passord for å dekryptere HiSuite-sikkerhetskopien, eller bruke Passware-verktøyet for å prøve å gjette dette passordet hvis det er ukjent:
Resultatet av analysen av sikkerhetskopien vil være programvinduet "Mobile Forensic Expert", som viser typene utpakkede artefakter: anrop, kontakter, meldinger, filer, hendelsesfeed, applikasjonsdata. Vær oppmerksom på mengden data som trekkes ut fra ulike applikasjoner av dette rettsmedisinske programmet. Det er bare enormt!
Liste over utpakkede datatyper fra HiSuite-sikkerhetskopi i Mobile Forensic Expert-programmet:
Dekryptering av HiSuite-sikkerhetskopier
Что же делать если у вас нет этих замечательных программ? В этом случае вам поможет Python-скипт, разработанный и поддерживаемый Франческо Пикассо (Francesco Picasso), сотрудником Reality Net System Solutions. Этот скрипт вы можете найти на GitHub, og dens mer detaljerte beskrivelse er i artikkel «Huawei backup decryptor».
Den dekrypterte HiSuite-sikkerhetskopien kan deretter importeres og analyseres ved hjelp av klassiske rettsmedisinske verktøy (f. Obduksjon) или вручную.
Funn
Ved å bruke HiSuite-sikkerhetskopieringsverktøyet kan du trekke ut en størrelsesorden mer data fra Huawei-smarttelefoner enn når du trekker ut data fra de samme enhetene ved å bruke ADB-verktøyet. Til tross for det store antallet verktøy for å jobbe med mobiltelefoner, er Belkasoft Evidence Center og Mobile Forensic Expert blant de få rettsmedisinske programmene som støtter utvinning og analyse av HiSuite-sikkerhetskopier.