Analiza mjeko-ligjore e kopjeve rezervë të HiSuite
Nxjerrja e të dhënave nga pajisjet Android po bëhet më e vështirë çdo ditë - ndonjëherë edhe më i vështirësesa nga iPhone. Igor Mikhailov, specialist në Laboratorin e Forenzikës Kompjuterike Group-IB, ju tregon se çfarë të bëni nëse nuk mund të nxirrni të dhëna nga smartphone juaj Android duke përdorur metoda standarde.
Disa vite më parë, kolegët e mi dhe unë diskutuam tendencat në zhvillimin e mekanizmave të sigurisë në pajisjet Android dhe arritëm në përfundimin se do të vinte koha kur hetimi i tyre mjeko-ligjor do të bëhej më i vështirë sesa për pajisjet iOS. Dhe sot mund të themi me besim se kjo kohë ka ardhur.
Kohët e fundit kam shqyrtuar Huawei Honor 20 Pro. Çfarë mendoni se arritëm të nxjerrim nga rezervimi i tij i marrë duke përdorur programin ADB? Asgjë! Pajisja është plot me të dhëna: informacione për thirrjet, libër telefoni, SMS, mesazhe të çastit, email, skedarë multimedia, etj. Dhe ju nuk mund të nxirrni asnjë nga këto. Ndjenjë e tmerrshme!
Çfarë duhet bërë në një situatë të tillë? Një zgjidhje e mirë është përdorimi i shërbimeve rezervë të pronarit (Mi PC Suite për telefonat inteligjentë Xiaomi, Samsung Smart Switch për Samsung, HiSuite për Huawei).
Në këtë artikull do të shikojmë krijimin dhe nxjerrjen e të dhënave nga telefonat inteligjentë Huawei duke përdorur programin HiSuite dhe analizën e tyre pasuese duke përdorur Belkasoft Evidence Center.
Cilat lloje të të dhënave përfshihen në kopjet rezervë të HiSuite?
Llojet e mëposhtme të të dhënave përfshihen në kopjet rezervë të HiSuite:
të dhëna për llogaritë dhe fjalëkalimet (ose argumentet)
kontaktet
sfidat
Mesazhe SMS dhe MMS
Email
skedarë multimedial
Baza e të dhënave
dokumentet
arkivat
skedarët e aplikacionit (skedarët me shtesa.odex, .kështu që, .apk)
informacione nga aplikacionet (si Facebook, Google Drive, Google Photos, Google Mails, Google Maps, Instagram, WhatsApp, YouTube, etj.)
Le të shohim më në detaje se si krijohet një kopje rezervë e tillë dhe si ta analizojmë atë duke përdorur Belkasoft Evidence Center.
Rezervimi i një smartphone Huawei duke përdorur programin HiSuite
Për të krijuar një kopje rezervë me një mjet të pronarit, duhet ta shkarkoni nga faqja e internetit Huawei dhe instaloni.
Faqja e Shkarkimit Hisuite në faqen e internetit të Huawei:
Për të çiftuar pajisjen me një kompjuter, përdoret modaliteti HDB (Huawei Debug Bridge). Ka udhëzime të hollësishme në faqen e internetit të Huawei ose në vetë programin HiSuite se si të aktivizoni modalitetin HDB në pajisjen tuaj celulare. Pas aktivizimit të modalitetit HDB, hapni aplikacionin HiSuite në pajisjen tuaj celulare dhe futni kodin e shfaqur në këtë aplikacion në dritaren e programit HiSuite që funksionon në kompjuterin tuaj.
Dritarja e futjes së kodit në versionin desktop të HiSuite:
Gjatë procesit të rezervimit, do t'ju kërkohet të vendosni një fjalëkalim, i cili do të përdoret për të mbrojtur të dhënat e nxjerra nga memoria e pajisjes. Kopja rezervë e krijuar do të vendoset përgjatë rrugës C:/Përdoruesit/%Profili i përdoruesit%/Dokumentet/HiSuite/backup/.
Huawei Honor 20 Pro Smartphone Backup:
Duke analizuar një kopje rezervë të HiSuite duke përdorur Belkasoft Evidence Center
Për të analizuar rezervën që rezulton duke përdorur Qendra e Provave të Belkasoft krijoni një biznes të ri. Pastaj zgjidhni si burimin e të dhënave Imazhi celular. Në menynë që hapet, specifikoni shtegun për në drejtorinë ku ndodhet rezervimi i smartphone dhe zgjidhni skedarin info.xml.
Përcaktimi i rrugës për në kopjen rezervë:
Në dritaren tjetër, programi do t'ju kërkojë të zgjidhni llojet e objekteve që duhet të gjeni. Pasi të keni filluar skanimin, shkoni në skedë Task Manager dhe klikoni butonin Konfiguro detyrën, sepse programi pret një fjalëkalim për të deshifruar kopjen rezervë të koduar.
buton Konfiguro detyrën:
Pas deshifrimit të rezervës, Belkasoft Evidence Center do t'ju kërkojë të ri-specifikoni llojet e objekteve që duhen nxjerrë. Pas përfundimit të analizës, informacioni për artefaktet e nxjerra mund të shikohet në skeda Eksploruesi i rastit и Përmbledhje .
Huawei Honor 20 Rezultatet e Analizës Pro Backup:
Analiza e një kopje rezervë të HiSuite duke përdorur programin Mobile Forensic Expert
Për të përpunuar të dhënat e ruajtura në një kopje rezervë të HiSuite, klikoni në opsionin Importimi i kopjeve rezervë në dritaren kryesore të programit.
Fragment i dritares kryesore të programit "Eksperti i Mjekësisë Ligjore Mobile":
Ose në seksion Importit zgjidhni llojin e të dhënave të importuara Rezervimi i Huawei:
Në dritaren që hapet, specifikoni shtegun për në skedar info.xml. Kur filloni procedurën e nxjerrjes, do të shfaqet një dritare në të cilën do t'ju kërkohet ose të vendosni një fjalëkalim të njohur për të deshifruar kopjen rezervë të HiSuite, ose të përdorni mjetin Passware për të provuar të merrni me mend këtë fjalëkalim nëse është i panjohur:
Rezultati i analizës së kopjes rezervë do të jetë dritarja e programit "Mobile Forensic Expert", e cila tregon llojet e objekteve të nxjerra: thirrjet, kontaktet, mesazhet, skedarët, furnizimi i ngjarjeve, të dhënat e aplikacionit. Kushtojini vëmendje sasisë së të dhënave të nxjerra nga aplikacione të ndryshme nga ky program mjeko-ligjor. Është thjesht i madh!
Lista e llojeve të të dhënave të nxjerra nga rezervimi i HiSuite në programin Mobile Forensic Expert:
Deshifrimi i kopjeve rezervë të HiSuite
Çfarë duhet të bëni nëse nuk i keni këto programe të mrekullueshme? Në këtë rast, një skrip Python i zhvilluar dhe mirëmbajtur nga Francesco Picasso, një punonjës i Reality Net System Solutions, do t'ju ndihmojë. Ju mund ta gjeni këtë skenar në GitHub, dhe përshkrimi i tij më i detajuar është në artikull "Huawei Decryptor Backup."
Rezervimi i deshifruar i HiSuite më pas mund të importohet dhe analizohet duke përdorur mjetet klasike të mjekësisë ligjore (p.sh. autopsi) ose me dorë.
Gjetjet
Kështu, duke përdorur mjetin rezervë HiSuite, mund të nxirrni një rend të madhësisë më shumë të dhëna nga telefonat inteligjentë Huawei sesa kur nxirrni të dhëna nga të njëjtat pajisje duke përdorur mjetin ADB. Pavarësisht numrit të madh të shërbimeve për të punuar me telefonat celularë, Belkasoft Evidence Center dhe Mobile Forensic Expert janë ndër të paktat programe mjekoligjore që mbështesin nxjerrjen dhe analizën e kopjeve rezervë të HiSuite.