Wyodrębnianie danych z urządzeń z systemem Android staje się z dnia na dzień coraz trudniejsze – czasem nawet niż z iPhone'a. Igor Michajłow, specjalista w Laboratorium Informatyki Kryminalistycznej Group-IB, podpowiada, co zrobić, jeśli nie można wyodrębnić danych ze smartfona z systemem Android standardowymi metodami.
Kilka lat temu omawialiśmy z kolegami trendy w rozwoju mechanizmów bezpieczeństwa w urządzeniach z Androidem i doszliśmy do wniosku, że nadejdzie czas, gdy ich dochodzenie stanie się trudniejsze niż w przypadku urządzeń z systemem iOS. I dziś możemy śmiało powiedzieć, że ten czas nadszedł.
Niedawno recenzowałem Huawei Honor 20 Pro. Jak myślisz, co udało nam się wyodrębnić z kopii zapasowej uzyskanej za pomocą narzędzia ADB? Nic! Urządzenie jest pełne danych: informacji o połączeniach, książce telefonicznej, SMS-ach, komunikatorach, e-mailach, plikach multimedialnych itp. I nie możesz nic z tego wydusić. Straszne uczucie!
Co zrobić w takiej sytuacji? Dobrym rozwiązaniem jest skorzystanie z autorskich narzędzi do tworzenia kopii zapasowych (Mi PC Suite dla smartfonów Xiaomi, Samsung Smart Switch dla Samsung, HiSuite dla Huawei).
W tym artykule przyjrzymy się tworzeniu i ekstrakcji danych ze smartfonów Huawei za pomocą narzędzia HiSuite oraz ich późniejszej analizie za pomocą Belkasoft Evidence Center.
Jakie typy danych znajdują się w kopiach zapasowych HiSuite?
Kopie zapasowe HiSuite uwzględniają następujące typy danych:
- dane o kontach i hasłach (lub tokenach)
- kontakty
- wyzwania
- Wiadomości SMS i MMS
- pliki multimedialne
- Baza danych
- dokumentacja
- archiwa
- pliki aplikacji (pliki z rozszerzeniami.odex, .so, . Apk)
- informacje z aplikacji (takich jak Facebook, Google Drive, Google Photos, Google Mails, Google Maps, Instagram, WhatsApp, YouTube itp.)
Przyjrzyjmy się bardziej szczegółowo, jak powstaje taka kopia zapasowa i jak ją analizować za pomocą Belkasoft Evidence Center.
Tworzenie kopii zapasowej smartfona Huawei za pomocą narzędzia HiSuite
Aby utworzyć kopię zapasową za pomocą zastrzeżonego narzędzia, należy je pobrać ze strony internetowej i zainstaluj.
Strona pobierania HiSuite w witrynie Huawei:
Do sparowania urządzenia z komputerem wykorzystywany jest tryb HDB (Huawei Debug Bridge). Na stronie internetowej Huawei lub w samym programie HiSuite znajdują się szczegółowe instrukcje dotyczące aktywacji trybu HDB na urządzeniu mobilnym. Po włączeniu trybu HDB uruchom na swoim urządzeniu mobilnym aplikację HiSuite i wprowadź wyświetlony w tej aplikacji kod do okna programu HiSuite działającego na Twoim komputerze.
Okno wprowadzania kodu w komputerowej wersji HiSuite:
Podczas tworzenia kopii zapasowej zostaniesz poproszony o podanie hasła, które posłuży do ochrony danych wyodrębnionych z pamięci urządzenia. Utworzona kopia zapasowa będzie zlokalizowana wzdłuż ścieżki C:/Użytkownicy/%Profil użytkownika%/Dokumenty/HiSuite/kopia zapasowa/.
Kopia zapasowa smartfona Huawei Honor 20 Pro:
Analizowanie kopii zapasowej HiSuite za pomocą Belkasoft Evidence Center
Aby przeanalizować wynikową kopię zapasową za pomocą stworzyć nowy biznes. Następnie wybierz jako źródło danych Obraz mobilny. W menu, które zostanie otwarte, określ ścieżkę do katalogu, w którym znajduje się kopia zapasowa smartfona, i wybierz plik info.xml.
Określanie ścieżki do kopii zapasowej:
W następnym oknie program poprosi Cię o wybranie typów artefaktów, które chcesz znaleźć. Po rozpoczęciu skanowania przejdź do zakładki Task Manager i kliknij przycisk Skonfiguruj zadanie, ponieważ program oczekuje hasła do odszyfrowania zaszyfrowanej kopii zapasowej.
Przycisk Skonfiguruj zadanie:
Po odszyfrowaniu kopii zapasowej Belkasoft Evidence Center poprosi Cię o ponowne określenie typów artefaktów, które należy wyodrębnić. Po zakończeniu analizy informacje o wyodrębnionych artefaktach można wyświetlić w zakładkach Eksplorator przypadków и Przegląd .
Wyniki analizy kopii zapasowej Huawei Honor 20 Pro:
Analiza kopii zapasowej HiSuite przy użyciu programu Mobile Forensic Expert
Innym programem kryminalistycznym, którego można użyć do wyodrębnienia danych z kopii zapasowej HiSuite, jest .
Aby przetworzyć dane zapisane w kopii zapasowej HiSuite, kliknij tę opcję Importowanie kopii zapasowych w głównym oknie programu.
Fragment okna głównego programu „Mobilny Ekspert Kryminalistyczny”:
Albo w dziale Importuj wybierz typ danych do zaimportowania Kopia zapasowa Huawei:
W oknie, które zostanie otwarte, określ ścieżkę do pliku info.xml. Po rozpoczęciu procedury wyodrębniania pojawi się okno, w którym zostaniesz poproszony o wprowadzenie znanego hasła w celu odszyfrowania kopii zapasowej HiSuite lub użycie narzędzia Passware do odgadnięcia tego hasła, jeśli jest nieznane:
Wynikiem analizy kopii zapasowej będzie okno programu „Mobile Forensic Expert”, które pokazuje typy wyodrębnionych artefaktów: połączenia, kontakty, wiadomości, pliki, kanał zdarzeń, dane aplikacji. Zwróć uwagę na ilość danych wyodrębnionych z różnych aplikacji przez ten program kryminalistyczny. Jest po prostu ogromny!
Lista typów danych wyodrębnionych z kopii zapasowej HiSuite w programie Mobile Forensic Expert:
Odszyfrowywanie kopii zapasowych HiSuite
Co zrobić, jeśli nie masz tych wspaniałych programów? W tym wypadku pomocny będzie skrypt w języku Python opracowany i utrzymywany przez Francesco Picasso, pracownika Reality Net System Solutions. Skrypt ten można znaleźć pod adresem , a jego bardziej szczegółowy opis znajduje się w „Deszyfrator kopii zapasowych Huawei”.
Odszyfrowaną kopię zapasową HiSuite można następnie zaimportować i przeanalizować za pomocą klasycznych narzędzi kryminalistycznych (np. ) lub ręcznie.
odkrycia
Dzięki temu za pomocą narzędzia do tworzenia kopii zapasowych HiSuite możesz wyodrębnić o rząd wielkości więcej danych ze smartfonów Huawei niż w przypadku wyodrębniania danych z tych samych urządzeń za pomocą narzędzia ADB. Pomimo dużej liczby narzędzi do pracy z telefonami komórkowymi, Belkasoft Evidence Center i Mobile Forensic Expert należą do niewielu programów kryminalistycznych, które wspierają wyodrębnianie i analizę kopii zapasowych HiSuite.
Źródła informacji
Źródło: www.habr.com