ProHoster > Blog > administratë > Analiza mjeko-ligjore e kopjeve rezervë të HiSuite

Analiza mjeko-ligjore e kopjeve rezervë të HiSuite

Analiza mjeko-ligjore e kopjeve rezervë të HiSuite

Nxjerrja e të dhënave nga AndroidPajisjet po bëhen gjithnjë e më komplekse çdo ditë - ndonjëherë edhe më i vështirë, sesa nga iPhone. Igor Mikhailov, specialist në Laboratorin e Forenzikës Kompjuterike Group-IB, ju tregon se çfarë të bëni nëse nuk mund të nxirrni të dhëna nga telefoni juaj inteligjent Android në mënyra standarde.

Disa vite më parë, unë dhe kolegët e mi po diskutonim trendet në zhvillimin e mekanizmave të sigurisë në Android-pajisje dhe kuptuan se do të vinte një kohë kur analiza mjeko-ligjore e tyre do të bëhej më e vështirë se ajo e pajisjeve iOS. Dhe sot, mund të themi me besim se kjo kohë ka ardhur.

KohĂ«t e fundit kam shqyrtuar Huawei Honor 20 Pro. ÇfarĂ« mendoni se arritĂ«m tĂ« nxjerrim nga rezervimi i tij i marrĂ« duke pĂ«rdorur programin ADB? AsgjĂ«! Pajisja Ă«shtĂ« plot me tĂ« dhĂ«na: informacione pĂ«r thirrjet, libĂ«r telefoni, SMS, mesazhe tĂ« çastit, email, skedarĂ« multimedia, etj. Dhe ju nuk mund tĂ« nxirrni asnjĂ« nga kĂ«to. NdjenjĂ« e tmerrshme!

ÇfarĂ« duhet bĂ«rĂ« nĂ« njĂ« situatĂ« tĂ« tillĂ«? NjĂ« zgjidhje e mirĂ« Ă«shtĂ« pĂ«rdorimi i shĂ«rbimeve rezervĂ« tĂ« pronarit (Mi PC Suite pĂ«r telefonat inteligjentĂ« Xiaomi, Samsung Smart Switch pĂ«r Samsung, HiSuite pĂ«r Huawei).

Në këtë artikull do të shikojmë krijimin dhe nxjerrjen e të dhënave nga telefonat inteligjentë Huawei duke përdorur programin HiSuite dhe analizën e tyre pasuese duke përdorur Belkasoft Evidence Center.

Cilat lloje të të dhënave përfshihen në kopjet rezervë të HiSuite?

Llojet e mëposhtme të të dhënave përfshihen në kopjet rezervë të HiSuite:

  • tĂ« dhĂ«na pĂ«r llogaritĂ« dhe fjalĂ«kalimet (ose argumentet)
  • kontaktet
  • sfidat
  • Mesazhe SMS dhe MMS
  • Email
  • skedarĂ« multimedial
  • Baza e tĂ« dhĂ«nave
  • dokumentet
  • arkivat
  • skedarĂ«t e aplikacionit (skedarĂ«t me shtesa.odex, .kĂ«shtu qĂ«, .apk)
  • informacione nga aplikacionet (si Facebook, Google Drive, Google Photos, Google Mails, Google Maps, Instagram, WhatsApp, YouTube, etj.)

Le të shohim më në detaje se si krijohet një kopje rezervë e tillë dhe si ta analizojmë atë duke përdorur Belkasoft Evidence Center.

Rezervimi i një smartphone Huawei duke përdorur programin HiSuite

Për të krijuar një kopje rezervë me një mjet të pronarit, duhet ta shkarkoni nga faqja e internetit Huawei dhe instaloni.

Faqja e Shkarkimit Hisuite në faqen e internetit të Huawei:

Analiza mjeko-ligjore e kopjeve rezervë të HiSuite
Për të çiftuar pajisjen me një kompjuter, përdoret modaliteti HDB (Huawei Debug Bridge). Ka udhëzime të hollësishme në faqen e internetit të Huawei ose në vetë programin HiSuite se si të aktivizoni modalitetin HDB në pajisjen tuaj celulare. Pas aktivizimit të modalitetit HDB, hapni aplikacionin HiSuite në pajisjen tuaj celulare dhe futni kodin e shfaqur në këtë aplikacion në dritaren e programit HiSuite që funksionon në kompjuterin tuaj.

Dritarja e futjes së kodit në versionin desktop të HiSuite:

Analiza mjeko-ligjore e kopjeve rezervë të HiSuite
Gjatë procesit të rezervimit, do t'ju kërkohet të vendosni një fjalëkalim, i cili do të përdoret për të mbrojtur të dhënat e nxjerra nga memoria e pajisjes. Kopja rezervë e krijuar do të vendoset përgjatë rrugës C:/Përdoruesit/%Profili i përdoruesit%/Dokumentet/HiSuite/backup/.

Huawei Honor 20 Pro Smartphone Backup:

Analiza mjeko-ligjore e kopjeve rezervë të HiSuite

Duke analizuar një kopje rezervë të HiSuite duke përdorur Belkasoft Evidence Center

Për të analizuar rezervën që rezulton duke përdorur Qendra e Provave të Belkasoft krijoni një biznes të ri. Pastaj zgjidhni si burimin e të dhënave Imazhi celular. Në menynë që hapet, specifikoni shtegun për në drejtorinë ku ndodhet rezervimi i smartphone dhe zgjidhni skedarin info.xml.

Përcaktimi i rrugës për në kopjen rezervë:

Analiza mjeko-ligjore e kopjeve rezervë të HiSuite
Në dritaren tjetër, programi do t'ju kërkojë të zgjidhni llojet e objekteve që duhet të gjeni. Pasi të keni filluar skanimin, shkoni në skedë Task Manager dhe klikoni butonin Konfiguro detyrën, sepse programi pret një fjalëkalim për të deshifruar kopjen rezervë të koduar.

buton Konfiguro detyrën:

Analiza mjeko-ligjore e kopjeve rezervë të HiSuite
Pas deshifrimit të rezervës, Belkasoft Evidence Center do t'ju kërkojë të ri-specifikoni llojet e objekteve që duhen nxjerrë. Pas përfundimit të analizës, informacioni për artefaktet e nxjerra mund të shikohet në skeda Eksploruesi i rastit О Përmbledhje .

Huawei Honor 20 Rezultatet e Analizës Pro Backup:

Analiza mjeko-ligjore e kopjeve rezervë të HiSuite

Analiza e një kopje rezervë të HiSuite duke përdorur programin Mobile Forensic Expert

Një tjetër program mjekoligjor që mund të përdoret për të nxjerrë të dhëna nga një kopje rezervë e HiSuite është "Eksperti i lëvizshëm i mjekësisë ligjore".

Për të përpunuar të dhënat e ruajtura në një kopje rezervë të HiSuite, klikoni në opsionin Importimi i kopjeve rezervë në dritaren kryesore të programit.

Fragment i dritares kryesore të programit "Eksperti i Mjekësisë Ligjore Mobile":

Analiza mjeko-ligjore e kopjeve rezervë të HiSuite
Ose në seksion Importit zgjidhni llojin e të dhënave të importuara Rezervimi i Huawei:

Analiza mjeko-ligjore e kopjeve rezervë të HiSuite
Në dritaren që hapet, specifikoni shtegun për në skedar info.xml. Kur filloni procedurën e nxjerrjes, do të shfaqet një dritare në të cilën do t'ju kërkohet ose të vendosni një fjalëkalim të njohur për të deshifruar kopjen rezervë të HiSuite, ose të përdorni mjetin Passware për të provuar të merrni me mend këtë fjalëkalim nëse është i panjohur:

Analiza mjeko-ligjore e kopjeve rezervë të HiSuite
Rezultati i analizĂ«s sĂ« kopjes rezervĂ« do tĂ« jetĂ« dritarja e programit "Mobile Forensic Expert", e cila tregon llojet e objekteve tĂ« nxjerra: thirrjet, kontaktet, mesazhet, skedarĂ«t, furnizimi i ngjarjeve, tĂ« dhĂ«nat e aplikacionit. Kushtojini vĂ«mendje sasisĂ« sĂ« tĂ« dhĂ«nave tĂ« nxjerra nga aplikacione tĂ« ndryshme nga ky program mjeko-ligjor. ËshtĂ« thjesht i madh!

Lista e llojeve të të dhënave të nxjerra nga rezervimi i HiSuite në programin Mobile Forensic Expert:

Analiza mjeko-ligjore e kopjeve rezervë të HiSuite

Deshifrimi i kopjeve rezervë të HiSuite

ÇfarĂ« duhet tĂ« bĂ«ni nĂ«se nuk i keni kĂ«to programe tĂ« mrekullueshme? NĂ« kĂ«tĂ« rast, njĂ« skrip Python i zhvilluar dhe mirĂ«mbajtur nga Francesco Picasso, njĂ« punonjĂ«s i Reality Net System Solutions, do t'ju ndihmojĂ«. Ju mund ta gjeni kĂ«tĂ« skenar nĂ« GitHub, dhe pĂ«rshkrimi i tij mĂ« i detajuar Ă«shtĂ« nĂ« artikull "Huawei Decryptor Backup."

Rezervimi i deshifruar i HiSuite më pas mund të importohet dhe analizohet duke përdorur mjetet klasike të mjekësisë ligjore (p.sh. autopsi) ose me dorë.

Gjetjet

Kështu, duke përdorur mjetin rezervë HiSuite, mund të nxirrni një rend të madhësisë më shumë të dhëna nga telefonat inteligjentë Huawei sesa kur nxirrni të dhëna nga të njëjtat pajisje duke përdorur mjetin ADB. Pavarësisht numrit të madh të shërbimeve për të punuar me telefonat celularë, Belkasoft Evidence Center dhe Mobile Forensic Expert janë ndër të paktat programe mjekoligjore që mbështesin nxjerrjen dhe analizën e kopjeve rezervë të HiSuite.

burime

  1. Android Telefonat e hakuar më fort se iPhoneSipas një detektivi
  2. Huawei Hi-Suite
  3. Qendra e Provave të Belkasoft
  4. Ekspert i Mjekësisë Ligjore Mobile
  5. Kobackupdec
  6. Dekriptuesi rezervë Huawei
  7. autopsi

Burimi: www.habr.com

Bleni njĂ« host tĂ« besueshĂ«m pĂ«r faqet me mbrojtje DDoS, serverĂ« VPS VDS đŸ”„ Bleni hosting tĂ« besueshĂ«m tĂ« faqeve tĂ« internetit me mbrojtje DDoS, servera VPS VDS | ProHoster