Pridobivanje podatkov iz naprav Android postaja vsak dan težje – včasih celo težjekot iz iPhona. Igor Mikhailov, specialist Laboratorija za računalniško forenziko Group-IB, vam pove, kaj storiti, če ne morete pridobiti podatkov iz pametnega telefona Android s standardnimi metodami.
Pred nekaj leti smo s sodelavci razpravljali o trendih razvoja varnostnih mehanizmov v napravah Android in prišli do zaključka, da bo prišel čas, ko bo njihova forenzična preiskava težja kot pri napravah iOS. In danes lahko z gotovostjo trdimo, da je ta čas prišel.
Pred kratkim sem pregledal Huawei Honor 20 Pro. Kaj mislite, kaj nam je uspelo izluščiti iz varnostne kopije, pridobljene s pripomočkom ADB? nič! Naprava je polna podatkov: informacije o klicih, telefonski imenik, SMS, takojšnje sporočanje, e-pošta, večpredstavnostne datoteke itd. In ničesar od tega ne moreš spraviti ven. Grozen občutek!
Kaj storiti v takšni situaciji? Dobra rešitev je uporaba lastniških pripomočkov za varnostno kopiranje (Mi PC Suite za pametne telefone Xiaomi, Samsung Smart Switch za Samsung, HiSuite za Huawei).
V tem članku si bomo ogledali ustvarjanje in pridobivanje podatkov iz pametnih telefonov Huawei s pripomočkom HiSuite in njihovo kasnejšo analizo z Belkasoft Evidence Center.
Katere vrste podatkov so vključene v varnostne kopije HiSuite?
V varnostne kopije HiSuite so vključene naslednje vrste podatkov:
podatki o računih in geslih (ali žetonih)
kontaktni podatki
izzivi
SMS in MMS sporočila
e-mail
multimedijske datoteke
Zbirka podatkov
Dokumentacija
arhivi
aplikacijske datoteke (datoteke s končnicami.odex, .so, . APK)
informacije iz aplikacij (kot so Facebook, Google Drive, Google Photos, Google Mails, Google Maps, Instagram, WhatsApp, YouTube itd.)
Oglejmo si podrobneje, kako se ustvari takšna varnostna kopija in kako jo analizirati z Belkasoft Evidence Center.
Varnostno kopiranje pametnega telefona Huawei s pripomočkom HiSuite
Če želite ustvariti varnostno kopijo z lastniškim pripomočkom, ga morate prenesti s spletnega mesta Huawei in namestite.
Stran za prenos HiSuite na spletnem mestu Huawei:
Za združitev naprave z računalnikom se uporablja način HDB (Huawei Debug Bridge). Na spletni strani Huawei ali v samem programu HiSuite so podrobna navodila, kako aktivirati način HDB na mobilni napravi. Po aktiviranju načina HDB zaženite aplikacijo HiSuite na svoji mobilni napravi in vnesite kodo, prikazano v tej aplikaciji, v okno programa HiSuite, ki se izvaja na vašem računalniku.
Okno za vnos kode v namizni različici HiSuite:
Med postopkom varnostnega kopiranja boste morali vnesti geslo, ki bo uporabljeno za zaščito podatkov, ekstrahiranih iz pomnilnika naprave. Ustvarjena varnostna kopija bo nameščena vzdolž poti C:/Uporabniki/%Uporabniški profil%/Dokumenti/HiSuite/backup/.
Analiza varnostne kopije HiSuite z Belkasoft Evidence Center
Za analizo nastale varnostne kopije uporabite Belkasoft Evidence Center ustvariti novo podjetje. Nato izberite kot vir podatkov Mobilna slika. V meniju, ki se odpre, določite pot do imenika, v katerem je varnostna kopija pametnega telefona, in izberite datoteko info.xml.
Določanje poti do varnostne kopije:
V naslednjem oknu vas bo program pozval, da izberete vrste artefaktov, ki jih morate najti. Po začetku skeniranja pojdite na zavihek Task Manager in kliknite gumb Konfigurirajte nalogo, ker program pričakuje geslo za dešifriranje šifrirane varnostne kopije.
gumb Konfigurirajte nalogo:
Po dešifriranju varnostne kopije vas bo Belkasoft Evidence Center prosil, da ponovno določite vrste artefaktov, ki jih je treba ekstrahirati. Po končani analizi si lahko informacije o ekstrahiranih artefaktih ogledate v zavihkih Raziskovalec primerov и Pregled .
Rezultati analize varnostnih kopij Huawei Honor 20 Pro:
Analiza varnostne kopije HiSuite s programom Mobile Forensic Expert
Drug forenzični program, ki ga je mogoče uporabiti za pridobivanje podatkov iz varnostne kopije HiSuite, je "Mobilni forenzik".
Če želite obdelati podatke, shranjene v varnostni kopiji HiSuite, kliknite možnost Uvažanje varnostnih kopij v glavnem oknu programa.
Fragment glavnega okna programa "Mobile Forensic Expert":
Ali v razdelku Uvoz izberite vrsto podatkov za uvoz Huawei varnostna kopija:
V oknu, ki se odpre, določite pot do datoteke info.xml. Ko začnete postopek ekstrakcije, se prikaže okno, v katerem boste morali vnesti znano geslo za dešifriranje varnostne kopije HiSuite ali uporabiti orodje Passware, da poskusite uganiti to geslo, če je neznano:
Rezultat analize varnostne kopije bo okno programa »Mobile Forensic Expert«, ki prikazuje vrste ekstrahiranih artefaktov: klice, stike, sporočila, datoteke, vir dogodkov, podatke aplikacije. Bodite pozorni na količino podatkov, ki jih ta forenzični program pridobi iz različnih aplikacij. Preprosto ogromno je!
Seznam ekstrahiranih tipov podatkov iz varnostne kopije HiSuite v programu Mobile Forensic Expert:
Dešifriranje varnostnih kopij HiSuite
Kaj storiti, če teh čudovitih programov nimate? V tem primeru vam bo pomagala skripta Python, ki jo je razvil in vzdržuje Francesco Picasso, uslužbenec Reality Net System Solutions. Ta skript lahko najdete na GitHub, njegov podrobnejši opis pa je v članek "Huawei backup decryptor."
Dešifrirano varnostno kopijo HiSuite je nato mogoče uvoziti in analizirati s klasičnimi forenzičnimi pripomočki (npr. Obdukcija) ali ročno.
Ugotovitve
Tako lahko z uporabo pripomočka za varnostno kopiranje HiSuite iz pametnih telefonov Huawei izvlečete za red velikosti več podatkov kot pri pridobivanju podatkov iz istih naprav s pripomočkom ADB. Kljub velikemu številu pripomočkov za delo z mobilnimi telefoni sta Belkasoft Evidence Center in Mobile Forensic Expert med redkimi forenzičnimi programi, ki podpirajo ekstrakcijo in analizo varnostnih kopij HiSuite.