Extrahovanie údajov zo zariadení so systémom Android je každým dňom ťažšie – niekedy dokonca ťažšienež z iPhonu. Igor Mikhailov, špecialista na Group-IB Computer Forensics Laboratory, vám povie, čo robiť, ak nemôžete extrahovať údaje zo smartfónu so systémom Android pomocou štandardných metód.
Pred niekoľkými rokmi sme s kolegami diskutovali o trendoch vo vývoji bezpečnostných mechanizmov v zariadeniach s Androidom a dospeli sme k záveru, že príde čas, keď bude ich forenzné vyšetrovanie zložitejšie ako v prípade zariadení s iOS. A dnes môžeme s istotou povedať, že tento čas nastal.
Nedávno som recenzoval Huawei Honor 20 Pro. Čo si myslíte, že sa nám podarilo vytiahnuť z jeho zálohy získanej pomocou utility ADB? Nič! Zariadenie je plné údajov: informácie o hovoroch, telefónny zoznam, SMS, okamžité správy, e-mail, multimediálne súbory atď. A nič z toho nemôžete dostať von. Strašný pocit!
Čo robiť v takejto situácii? Dobrým riešením je použiť proprietárne zálohovacie nástroje (Mi PC Suite pre smartfóny Xiaomi, Samsung Smart Switch pre Samsung, HiSuite pre Huawei).
V tomto článku sa pozrieme na vytváranie a extrakciu dát zo smartfónov Huawei pomocou utility HiSuite a ich následnú analýzu pomocou Belkasoft Evidence Center.
Aké typy údajov sú zahrnuté v zálohách HiSuite?
V zálohách HiSuite sú zahrnuté nasledujúce typy údajov:
údaje o účtoch a heslá (alebo tokeny)
kontaktné údaje
výzvy
SMS a MMS správy
e-mailom
multimediálne súbory
Databáza
dokumentácia
archívov
aplikačné súbory (súbory s príponami.odex, .so, . APK)
informácie z aplikácií (ako je Facebook, Disk Google, Fotky Google, Google Mails, Mapy Google, Instagram, WhatsApp, YouTube atď.)
Pozrime sa podrobnejšie na to, ako sa takáto záloha vytvára a ako ju analyzovať pomocou Belkasoft Evidence Center.
Zálohovanie smartfónu Huawei pomocou pomôcky HiSuite
Ak chcete vytvoriť záložnú kópiu pomocou proprietárneho nástroja, musíte si ju stiahnuť z webovej lokality Huawei a nainštalovať.
Stránka na stiahnutie HiSuite na webovej stránke Huawei:
Na spárovanie zariadenia s počítačom sa používa režim HDB (Huawei Debug Bridge). Na webe Huawei alebo v samotnom programe HiSuite je podrobný návod, ako aktivovať HDB režim na mobilnom zariadení. Po aktivácii režimu HDB spustite na svojom mobilnom zariadení aplikáciu HiSuite a do okna programu HiSuite spusteného na počítači zadajte kód zobrazený v tejto aplikácii.
Okno na zadávanie kódu v počítačovej verzii HiSuite:
Počas procesu zálohovania budete vyzvaní na zadanie hesla, ktoré sa použije na ochranu údajov extrahovaných z pamäte zariadenia. Vytvorená záložná kópia bude umiestnená pozdĺž cesty C:/Používatelia/%Profil používateľa%/Dokumenty/HiSuite/záloha/.
Záloha smartfónu Huawei Honor 20 Pro:
Analýza zálohy HiSuite pomocou Belkasoft Evidence Center
Na analýzu výslednej zálohy pomocou Evidenčné centrum Belkasoft vytvoriť nový podnik. Potom vyberte ako zdroj údajov Mobilný obrázok. V ponuke, ktorá sa otvorí, zadajte cestu k adresáru, kde sa nachádza záloha smartfónu, a vyberte súbor info.xml.
Zadanie cesty k zálohe:
V ďalšom okne vás program vyzve na výber typov artefaktov, ktoré potrebujete nájsť. Po spustení skenovania prejdite na kartu Správca úloh a kliknite na tlačidlo Konfigurovať úlohu, pretože program očakáva heslo na dešifrovanie zašifrovanej zálohy.
Tlačidlo Konfigurovať úlohu:
Po dešifrovaní zálohy vás Belkasoft Evidence Center požiada o opätovné zadanie typov artefaktov, ktoré je potrebné extrahovať. Po dokončení analýzy je možné na kartách zobraziť informácie o extrahovaných artefaktoch Prieskumník prípadov и Prehľad .
Výsledky analýzy zálohovania Huawei Honor 20 Pro:
Analýza zálohy HiSuite pomocou programu Mobile Forensic Expert
Ďalším forenzným programom, ktorý možno použiť na extrahovanie údajov zo zálohy HiSuite, je "Mobilný forenzný expert".
Ak chcete spracovať údaje uložené v zálohe HiSuite, kliknite na možnosť Importovanie záloh v hlavnom okne programu.
Fragment hlavného okna programu „Mobile Forensic Expert“:
Alebo v sekcii dovoz vyberte typ údajov, ktoré chcete importovať Zálohovanie Huawei:
V okne, ktoré sa otvorí, zadajte cestu k súboru info.xml. Keď spustíte procedúru extrakcie, zobrazí sa okno, v ktorom budete požiadaní, aby ste buď zadali známe heslo na dešifrovanie zálohy HiSuite, alebo použite nástroj Passware na pokus uhádnuť toto heslo, ak je neznáme:
Výsledkom analýzy záložnej kópie bude okno programu „Mobile Forensic Expert“, ktoré zobrazuje typy extrahovaných artefaktov: hovory, kontakty, správy, súbory, informačný kanál udalostí, údaje aplikácie. Venujte pozornosť množstvu údajov extrahovaných z rôznych aplikácií týmto forenzným programom. Je to jednoducho obrovské!
Zoznam extrahovaných dátových typov zo zálohy HiSuite v programe Mobile Forensic Expert:
Dešifrovanie záloh HiSuite
Čo robiť, ak nemáte tieto úžasné programy? V tomto prípade vám pomôže skript Python vyvinutý a udržiavaný Francescom Picassom, zamestnancom Reality Net System Solutions. Tento skript nájdete na GitHub, a jeho podrobnejší popis je v článok "Huawei zálohovací dešifrovač."
Dešifrovanú zálohu HiSuite možno potom importovať a analyzovať pomocou klasických forenzných nástrojov (napr. pitva) alebo ručne.
Závery
Pomocou zálohovacej pomôcky HiSuite teda môžete zo smartfónov Huawei extrahovať rádovo viac údajov ako pri získavaní údajov z rovnakých zariadení pomocou pomôcky ADB. Napriek veľkému množstvu utilít na prácu s mobilnými telefónmi patria Belkasoft Evidence Center a Mobile Forensic Expert medzi málo forenzných programov, ktoré podporujú extrakciu a analýzu záloh HiSuite.