Extrair dados de dispositivos Android está se tornando mais difícil a cada dia - às vezes até do que do iPhone. Igor Mikhailov, especialista do Laboratório de Computação Forense do Grupo-IB, informa o que fazer se você não conseguir extrair dados do seu smartphone Android usando métodos padrão.
Vários anos atrás, meus colegas e eu discutimos tendências no desenvolvimento de mecanismos de segurança em dispositivos Android e chegamos à conclusão de que chegaria o momento em que a investigação forense se tornaria mais difícil do que para dispositivos iOS. E hoje podemos dizer com segurança que esta hora chegou.
Recentemente revisei o Huawei Honor 20 Pro. O que você acha que conseguimos extrair do backup obtido usando o utilitário ADB? Nada! O dispositivo está cheio de dados: informações de chamadas, lista telefônica, SMS, mensagens instantâneas, e-mail, arquivos multimídia, etc. E você não pode tirar nada disso. Sensação terrível!
O que fazer em tal situação? Uma boa solução é usar utilitários de backup proprietários (Mi PC Suite para smartphones Xiaomi, Samsung Smart Switch para Samsung, HiSuite para Huawei).
Neste artigo veremos a criação e extração de dados de smartphones Huawei usando o utilitário HiSuite e sua posterior análise usando o Belkasoft Evidence Center.
Que tipos de dados estão incluídos nos backups do HiSuite?
Os seguintes tipos de dados estão incluídos nos backups do HiSuite:
- dados sobre contas e senhas (ou tokens)
- contatos
- desafios
- Mensagens SMS e MMS
- correio eletrônico
- arquivos multimídia
- bases de dados
- documentação
- arquivos
- arquivos de aplicativos (arquivos com extensões. Odex, .assim, .apk)
- informações de aplicativos (como Facebook, Google Drive, Google Fotos, Google Mails, Google Maps, Instagram, WhatsApp, YouTube, etc.)
Vejamos com mais detalhes como esse backup é criado e como analisá-lo usando o Belkasoft Evidence Center.
Fazendo backup de um smartphone Huawei usando o utilitário HiSuite
Para criar uma cópia de backup com um utilitário proprietário, você precisa baixá-lo do site e instale.
Página de download do HiSuite no site da Huawei:
Para emparelhar o dispositivo com um computador, é usado o modo HDB (Huawei Debug Bridge). Existem instruções detalhadas no site da Huawei ou no próprio programa HiSuite sobre como ativar o modo HDB no seu dispositivo móvel. Após ativar o modo HDB, inicie o aplicativo HiSuite em seu dispositivo móvel e insira o código exibido neste aplicativo na janela do programa HiSuite em execução em seu computador.
Janela de entrada de código na versão desktop do HiSuite:
Durante o processo de backup, será solicitada uma senha, que será usada para proteger os dados extraídos da memória do dispositivo. A cópia de backup criada estará localizada ao longo do caminho C:/Usuários/%Perfil do usuário%/Documentos/HiSuite/backup/.
Backup do smartphone Huawei Honor 20 Pro:
Analisando um backup HiSuite usando Belkasoft Evidence Center
Para analisar o backup resultante usando criar um novo negócio. Em seguida, selecione como fonte de dados Imagem para celular. No menu que se abre, especifique o caminho para o diretório onde está localizado o backup do smartphone e selecione o arquivo informações.xml.
Especificando o caminho para o backup:
Na próxima janela, o programa solicitará que você selecione os tipos de artefatos que deseja encontrar. Após iniciar a verificação, vá para a aba Gerenciador de tarefas e clique no botão Configurar tarefa, porque o programa espera uma senha para descriptografar o backup criptografado.
Botão Configurar tarefa:
Após descriptografar o backup, o Belkasoft Evidence Center solicitará que você especifique novamente os tipos de artefatos que precisam ser extraídos. Após a conclusão da análise, as informações sobre os artefatos extraídos podem ser visualizadas nas abas Explorador de Caso и Visão geral .
Resultados da análise de backup do Huawei Honor 20 Pro:
Análise de um backup HiSuite usando o programa Mobile Forensic Expert
Outro programa forense que pode ser usado para extrair dados de um backup HiSuite é .
Para processar os dados armazenados em um backup HiSuite, clique na opção Importando backups na janela principal do programa.
Fragmento da janela principal do programa “Mobile Forensic Expert”:
Ou na seção Importações selecione o tipo de dados a importar Cópia de segurança da Huawei:
Na janela que se abre, especifique o caminho para o arquivo informações.xml. Ao iniciar o procedimento de extração, aparecerá uma janela na qual será solicitado que você insira uma senha conhecida para descriptografar o backup do HiSuite ou use a ferramenta Passware para tentar adivinhar essa senha se ela for desconhecida:
O resultado da análise da cópia de backup será a janela do programa “Mobile Forensic Expert”, que mostra os tipos de artefatos extraídos: chamadas, contatos, mensagens, arquivos, feed de eventos, dados de aplicativos. Preste atenção à quantidade de dados extraídos de diversas aplicações por este programa forense. É simplesmente enorme!
Lista de tipos de dados extraídos do backup HiSuite no programa Mobile Forensic Expert:
Descriptografando backups do HiSuite
O que fazer se você não tiver esses programas maravilhosos? Nesse caso, um script Python desenvolvido e mantido por Francesco Picasso, funcionário da Reality Net System Solutions, irá ajudá-lo. Você pode encontrar este script em , e sua descrição mais detalhada está em "Descriptografador de backup Huawei."
O backup descriptografado do HiSuite pode então ser importado e analisado usando utilitários forenses clássicos (por exemplo, ) ou manualmente.
Descobertas
Assim, usando o utilitário de backup HiSuite, você pode extrair muito mais dados de smartphones Huawei do que ao extrair dados dos mesmos dispositivos usando o utilitário ADB. Apesar do grande número de utilitários para trabalhar com telefones celulares, o Belkasoft Evidence Center e o Mobile Forensic Expert estão entre os poucos programas forenses que suportam a extração e análise de backups do HiSuite.
fontes
Fonte: habr.com