Extragerea datelor de pe dispozitivele Android devine din ce în ce mai dificilă în fiecare zi – uneori chiar mai dificildecât de pe iPhone. Igor Mikhailov, specialist la Laboratorul de criminalistică informatică Group-IB, vă spune ce să faceți dacă nu puteți extrage date de pe smartphone-ul Android folosind metode standard.
În urmă cu câțiva ani, eu și colegii mei am discutat despre tendințele de dezvoltare a mecanismelor de securitate în dispozitivele Android și am ajuns la concluzia că va veni momentul în care investigația lor criminalistică va deveni mai dificilă decât pentru dispozitivele iOS. Și astăzi putem spune cu încredere că acest moment a venit.
Recent am făcut o recenzie despre Huawei Honor 20 Pro. Ce credeți că am reușit să extragem din backup-ul său obținut cu ajutorul utilitarului ADB? Nimic! Dispozitivul este plin de date: informații despre apel, agenda telefonică, SMS, mesagerie instantanee, e-mail, fișiere multimedia etc. Și nu poți scoate nimic din toate astea. Senzație groaznică!
Ce să faci într-o astfel de situație? O soluție bună este utilizarea utilităților de rezervă proprietare (Mi PC Suite pentru smartphone-uri Xiaomi, Samsung Smart Switch pentru Samsung, HiSuite pentru Huawei).
În acest articol ne vom uita la crearea și extragerea datelor de pe smartphone-urile Huawei folosind utilitarul HiSuite și analiza lor ulterioară folosind Belkasoft Evidence Center.
Ce tipuri de date sunt incluse în backup-urile HiSuite?
Următoarele tipuri de date sunt incluse în backup-urile HiSuite:
date despre conturi și parole (sau jetoane)
contacte
provocări
Mesaje SMS și MMS
poștă electronică
fisiere multimedia
Bază de date
documentație
arhive
fișiere de aplicație (fișiere cu extensii.odex, .asa de, .apk)
informații din aplicații (cum ar fi Facebook, Google Drive, Google Photos, Google Mails, Google Maps, Instagram, WhatsApp, YouTube etc.)
Să vedem mai detaliat cum este creată o astfel de copie de rezervă și cum să o analizăm folosind Belkasoft Evidence Center.
Realizarea unei copii de rezervă a unui smartphone Huawei folosind utilitarul HiSuite
Pentru a crea o copie de rezervă cu un utilitar proprietar, trebuie să o descărcați de pe site Huawei și instalați.
Pagina de descărcare HiSuite de pe site-ul Huawei:
Pentru a asocia dispozitivul cu un computer, este utilizat modul HDB (Huawei Debug Bridge). Există instrucțiuni detaliate pe site-ul web Huawei sau în programul HiSuite în sine despre cum să activați modul HDB pe dispozitivul dvs. mobil. După activarea modului HDB, lansați aplicația HiSuite pe dispozitivul dvs. mobil și introduceți codul afișat în această aplicație în fereastra programului HiSuite care rulează pe computer.
Fereastra de introducere a codului în versiunea desktop a HiSuite:
În timpul procesului de backup, vi se va cere să introduceți o parolă, care va fi folosită pentru a proteja datele extrase din memoria dispozitivului. Copia de rezervă creată va fi localizată de-a lungul căii C:/Utilizatori/%Profil utilizator%/Documente/HiSuite/backup/.
Backup pentru smartphone Huawei Honor 20 Pro:
Analizarea unei copii de rezervă HiSuite folosind Belkasoft Evidence Center
Pentru a analiza backupul rezultat folosind Centrul de dovezi Belkasoft crearea unei noi afaceri. Apoi selectați ca sursă de date Imagine mobilă. În meniul care se deschide, specificați calea către directorul în care se află backupul smartphone-ului și selectați fișierul info.xml.
Specificarea căii către backup:
În fereastra următoare, programul vă va solicita să selectați tipurile de artefacte pe care trebuie să le găsiți. După începerea scanării, accesați fila Task Manager și faceți clic pe butonul Configurați sarcina, deoarece programul se așteaptă la o parolă pentru a decripta backup-ul criptat.
buton Configurați sarcina:
După decriptarea copiei de rezervă, Belkasoft Evidence Center vă va cere să respecificați tipurile de artefacte care trebuie extrase. După finalizarea analizei, informațiile despre artefactele extrase pot fi vizualizate în file Case Explorer и Descriere .
Rezultatele analizei de backup pentru Huawei Honor 20 Pro:
Analiza unui backup HiSuite folosind programul Mobile Forensic Expert
Un alt program criminalistic care poate fi folosit pentru a extrage date dintr-o copie de rezervă HiSuite este „Expert criminalistic mobil”.
Pentru a procesa datele stocate într-o copie de rezervă HiSuite, faceți clic pe opțiune Import de copii de rezervă în fereastra principală a programului.
Fragment al ferestrei principale a programului „Mobile Forensic Expert”:
Sau in sectiune importuri selectați tipul de date de importat Backup Huawei:
În fereastra care se deschide, specificați calea către fișier info.xml. Când începeți procedura de extragere, va apărea o fereastră în care vi se va cere fie să introduceți o parolă cunoscută pentru a decripta backup-ul HiSuite, fie să utilizați instrumentul Passware pentru a încerca să ghiciți această parolă dacă nu este cunoscută:
Rezultatul analizei copiei de rezervă va fi fereastra programului „Mobile Forensic Expert”, care arată tipurile de artefacte extrase: apeluri, contacte, mesaje, fișiere, flux de evenimente, date aplicației. Acordați atenție cantității de date extrase din diverse aplicații de către acest program criminalistic. Este doar uriaș!
Lista tipurilor de date extrase din backup HiSuite în programul Mobile Forensic Expert:
Decriptarea backup-urilor HiSuite
Ce să faci dacă nu ai aceste programe minunate? În acest caz, vă va ajuta un script Python dezvoltat și întreținut de Francesco Picasso, un angajat al Reality Net System Solutions. Puteți găsi acest script la GitHub, iar descrierea sa mai detaliată este în articol „Decriptor de rezervă Huawei”.
Backup-ul HiSuite decriptat poate fi apoi importat și analizat utilizând utilități criminalistice clasice (de ex. autopsie) sau manual.
Constatări
Astfel, folosind utilitarul de backup HiSuite, puteți extrage cu un ordin de mărime mai multe date de pe smartphone-urile Huawei decât atunci când extrageți date de pe aceleași dispozitive folosind utilitarul ADB. În ciuda numărului mare de utilități pentru lucrul cu telefoanele mobile, Belkasoft Evidence Center și Mobile Forensic Expert sunt printre puținele programe criminalistice care sprijină extragerea și analiza backup-urilor HiSuite.