Pridobivanje podatkov iz naprav Android postaja vsak dan težje – včasih celo kot iz iPhona. Igor Mikhailov, specialist Laboratorija za računalniško forenziko Group-IB, vam pove, kaj storiti, če ne morete pridobiti podatkov iz pametnega telefona Android s standardnimi metodami.
Pred nekaj leti smo s sodelavci razpravljali o trendih razvoja varnostnih mehanizmov v napravah Android in prišli do zaključka, da bo prišel čas, ko bo njihova forenzična preiskava težja kot pri napravah iOS. In danes lahko z gotovostjo trdimo, da je ta čas prišel.
Pred kratkim sem pregledal Huawei Honor 20 Pro. Kaj mislite, kaj nam je uspelo izluščiti iz varnostne kopije, pridobljene s pripomočkom ADB? nič! Naprava je polna podatkov: informacije o klicih, telefonski imenik, SMS, takojšnje sporočanje, e-pošta, večpredstavnostne datoteke itd. In ničesar od tega ne moreš spraviti ven. Grozen občutek!
Kaj storiti v takšni situaciji? Dobra rešitev je uporaba lastniških pripomočkov za varnostno kopiranje (Mi PC Suite za pametne telefone Xiaomi, Samsung Smart Switch za Samsung, HiSuite za Huawei).
V tem članku si bomo ogledali ustvarjanje in pridobivanje podatkov iz pametnih telefonov Huawei s pripomočkom HiSuite in njihovo kasnejšo analizo z Belkasoft Evidence Center.
Katere vrste podatkov so vključene v varnostne kopije HiSuite?
V varnostne kopije HiSuite so vključene naslednje vrste podatkov:
- podatki o računih in geslih (ali žetonih)
- kontaktni podatki
- izzivi
- SMS in MMS sporočila
- multimedijske datoteke
- Zbirka podatkov
- Dokumentacija
- arhivi
- aplikacijske datoteke (datoteke s končnicami.odex, .so, . APK)
- informacije iz aplikacij (kot so Facebook, Google Drive, Google Photos, Google Mails, Google Maps, Instagram, WhatsApp, YouTube itd.)
Oglejmo si podrobneje, kako se ustvari takšna varnostna kopija in kako jo analizirati z Belkasoft Evidence Center.
Varnostno kopiranje pametnega telefona Huawei s pripomočkom HiSuite
Če želite ustvariti varnostno kopijo z lastniškim pripomočkom, ga morate prenesti s spletnega mesta in namestite.
Stran za prenos HiSuite na spletnem mestu Huawei:
Za združitev naprave z računalnikom se uporablja način HDB (Huawei Debug Bridge). Na spletni strani Huawei ali v samem programu HiSuite so podrobna navodila, kako aktivirati način HDB na mobilni napravi. Po aktiviranju načina HDB zaženite aplikacijo HiSuite na svoji mobilni napravi in vnesite kodo, prikazano v tej aplikaciji, v okno programa HiSuite, ki se izvaja na vašem računalniku.
Okno za vnos kode v namizni različici HiSuite:
Med postopkom varnostnega kopiranja boste morali vnesti geslo, ki bo uporabljeno za zaščito podatkov, ekstrahiranih iz pomnilnika naprave. Ustvarjena varnostna kopija bo nameščena vzdolž poti C:/Uporabniki/%Uporabniški profil%/Dokumenti/HiSuite/backup/.
Varnostna kopija pametnega telefona Huawei Honor 20 Pro:
Analiza varnostne kopije HiSuite z Belkasoft Evidence Center
Za analizo nastale varnostne kopije uporabite ustvariti novo podjetje. Nato izberite kot vir podatkov Mobilna slika. V meniju, ki se odpre, določite pot do imenika, v katerem je varnostna kopija pametnega telefona, in izberite datoteko info.xml.
Določanje poti do varnostne kopije:
V naslednjem oknu vas bo program pozval, da izberete vrste artefaktov, ki jih morate najti. Po začetku skeniranja pojdite na zavihek Task Manager in kliknite gumb Konfigurirajte nalogo, ker program pričakuje geslo za dešifriranje šifrirane varnostne kopije.
gumb Konfigurirajte nalogo:
Po dešifriranju varnostne kopije vas bo Belkasoft Evidence Center prosil, da ponovno določite vrste artefaktov, ki jih je treba ekstrahirati. Po končani analizi si lahko informacije o ekstrahiranih artefaktih ogledate v zavihkih Raziskovalec primerov и Pregled .
Rezultati analize varnostnih kopij Huawei Honor 20 Pro:
Analiza varnostne kopije HiSuite s programom Mobile Forensic Expert
Drug forenzični program, ki ga je mogoče uporabiti za pridobivanje podatkov iz varnostne kopije HiSuite, je .
Če želite obdelati podatke, shranjene v varnostni kopiji HiSuite, kliknite možnost Uvažanje varnostnih kopij v glavnem oknu programa.
Fragment glavnega okna programa "Mobile Forensic Expert":
Ali v razdelku Uvoz izberite vrsto podatkov za uvoz Huawei varnostna kopija:
V oknu, ki se odpre, določite pot do datoteke info.xml. Ko začnete postopek ekstrakcije, se prikaže okno, v katerem boste morali vnesti znano geslo za dešifriranje varnostne kopije HiSuite ali uporabiti orodje Passware, da poskusite uganiti to geslo, če je neznano:
Rezultat analize varnostne kopije bo okno programa »Mobile Forensic Expert«, ki prikazuje vrste ekstrahiranih artefaktov: klice, stike, sporočila, datoteke, vir dogodkov, podatke aplikacije. Bodite pozorni na količino podatkov, ki jih ta forenzični program pridobi iz različnih aplikacij. Preprosto ogromno je!
Seznam ekstrahiranih tipov podatkov iz varnostne kopije HiSuite v programu Mobile Forensic Expert:
Dešifriranje varnostnih kopij HiSuite
Kaj storiti, če teh čudovitih programov nimate? V tem primeru vam bo pomagala skripta Python, ki jo je razvil in vzdržuje Francesco Picasso, uslužbenec Reality Net System Solutions. Ta skript lahko najdete na , njegov podrobnejši opis pa je v "Huawei backup decryptor."
Dešifrirano varnostno kopijo HiSuite je nato mogoče uvoziti in analizirati s klasičnimi forenzičnimi pripomočki (npr. ) ali ročno.
Ugotovitve
Tako lahko z uporabo pripomočka za varnostno kopiranje HiSuite iz pametnih telefonov Huawei izvlečete za red velikosti več podatkov kot pri pridobivanju podatkov iz istih naprav s pripomočkom ADB. Kljub velikemu številu pripomočkov za delo z mobilnimi telefoni sta Belkasoft Evidence Center in Mobile Forensic Expert med redkimi forenzičnimi programi, ki podpirajo ekstrakcijo in analizo varnostnih kopij HiSuite.
viri
Vir: www.habr.com