Ékstrak data tina alat Android janten langkung sesah unggal dinten - sok sanajan ti ti iPhone. Igor Mikhailov, spesialis di Laboratorium Forensik Komputer Grup-IB, ngabejaan Anjeun naon nu kudu lamun teu bisa nimba data tina smartphone Android Anjeun nganggo metodeu standar.
Sababaraha taun ka pengker, kuring sareng kolega kuring ngabahas tren dina pamekaran mékanisme kaamanan dina alat Android sareng nyimpulkeun yén waktosna bakal sumping nalika panalungtikan forensikna bakal langkung hese tibatan alat ios. Sareng ayeuna urang tiasa nyarios kalayan yakin yén waktos ieu parantos sumping.
Kuring nembe marios Huawei Honor 20 Pro. Kumaha saur anjeun urang junun nimba tina cadanganna anu dicandak nganggo utilitas ADB? teu nanaon! Alatna pinuh ku data: inpormasi telepon, buku telepon, SMS, talatah instan, email, file multimedia, jsb. Sareng anjeun moal tiasa ngaluarkeun ieu. Rarasaan pikareueuseun!
Naon anu kudu dipigawé dina kaayaan kitu? Solusi anu saé nyaéta ngagunakeun utilitas cadangan proprietary (Mi PC Suite pikeun smartphone Xiaomi, Samsung Smart Switch pikeun Samsung, HiSuite pikeun Huawei).
Dina artikel ieu kami baris nempo kreasi sarta ékstraksi data ti smartphone Huawei ngagunakeun utilitas HiSuite jeung analisis saterusna maranéhanana ngagunakeun Belkasoft Bukti Center.
Jenis data naon anu kalebet dina cadangan HiSuite?
Jenis data ieu kalebet kana cadangan HiSuite:
- data ngeunaan akun sareng kecap akses (atanapi token)
- balad
- tantangan
- SMS sareng pesen MMS
- file multimedia
- Pangkalan data
- dokumenna
- arsip
- file aplikasi (file sareng ekstensi.odex, .so, .apk)
- inpormasi ti aplikasi (sapertos Facebook, Google Drive, Google Photos, Google Mails, Google Maps, Instagram, WhatsApp, YouTube, jsb.)
Hayu urang tingali dina leuwih jéntré kumaha cadangan ieu dijieun jeung cara analisa eta ngagunakeun Belkasoft Bukti Center.
Nyadangkeun smartphone Huawei nganggo utilitas HiSuite
Pikeun nyieun salinan cadangan sareng utilitas proprietary, anjeun kedah unduh tina situs wéb tur masang.
Halaman unduhan HiSuite dina halaman wéb Huawei:
Pikeun nyapasangkeun alat sareng komputer, mode HDB (Huawei Debug Bridge) dianggo. Aya pitunjuk lengkep dina halaman wéb Huawei atanapi dina program HiSuite sorangan ngeunaan cara ngaktipkeun mode HDB dina alat sélulér anjeun. Saatos ngaktipkeun mode HDB, jalankeun aplikasi HiSuite dina alat sélulér anjeun sareng lebetkeun kodeu anu dipidangkeun dina aplikasi ieu kana jandela program HiSuite anu dijalankeun dina komputer anjeun.
Jandéla éntri kode dina versi desktop HiSuite:
Salila prosés cadangan, Anjeun bakal dipenta pikeun nuliskeun kecap akses, nu bakal dipaké pikeun ngajaga data sasari tina mémori alat. Salinan cadangan anu diciptakeun bakal aya di sapanjang jalan C:/Pamaké/%Propil pamaké%/Dokumén/HiSuite/cadangan/.
Cadangan smartphone Huawei Honor 20 Pro:
Nganalisis cadangan HiSuite maké Belkasoft Evidence Center
Pikeun nganalisis cadangan hasilna ngagunakeun nyieun usaha anyar. Teras pilih salaku sumber data Gambar Mobile. Dina ménu anu muka, tangtukeun jalur ka diréktori tempat cadangan smartphone sareng pilih filena info.xml.
Nangtukeun jalur pikeun cadangan:
Dina jandéla salajengna, program bakal nyarankeun anjeun milih jinis artefak anu anjeun kedah milarian. Saatos ngamimitian scan, angkat ka tab tugas Manajer tur klik tombol Konpigurasikeun tugas, sabab program ngaharepkeun sandi pikeun ngadekrip cadangan énkripsi.
kancing Konpigurasikeun tugas:
Saatos ngadekrip cadangan, Belkasoft Evidence Center bakal naroskeun anjeun pikeun nangtukeun deui jinis artefak anu kedah diekstrak. Saatos analisa réngsé, inpormasi ngeunaan artefak anu sasari tiasa ditingali dina tab Kasus Explorer и gambaran .
Hasil analisis cadangan Huawei Honor 20 Pro:
Analisis cadangan HiSuite ngagunakeun program Mobile Forensic Expert
Program forensik séjén anu tiasa dianggo pikeun nimba data tina cadangan HiSuite nyaéta .
Pikeun ngolah data nu disimpen dina cadangan HiSuite, klik dina pilihan Ngimpor cadangan dina jandela program utama.
Fragmen tina jandela utama program "Mobile Forensic Expert":
Atawa dina bagian Impor pilih jinis data anu badé diimpor Huawei cadangan:
Dina jandela nu muka, tangtukeun jalur ka file info.xml. Nalika anjeun ngamimitian prosedur ékstraksi, jandela bakal némbongan dimana anjeun bakal dipenta pikeun nuliskeun kecap akses anu dipikanyaho pikeun ngadekrip cadangan HiSuite, atanapi nganggo alat Passware pikeun nyobaan nebak sandi ieu upami teu dipikanyaho:
Hasil analisa salinan cadangan bakal janten jandela program "Mobile Forensic Expert", anu nunjukkeun jinis artefak anu sasari: telepon, kontak, pesen, file, feed acara, data aplikasi. Nengetan jumlah data sasari tina rupa-rupa aplikasi ku program forensik ieu. Ieu ngan badag!
Daptar tipe data sasari tina cadangan HiSuite dina program Mobile Forensic Expert:
Ngadekrip cadangan HiSuite
Naon anu kudu dilakukeun upami anjeun henteu gaduh program anu saé ieu? Dina hal ieu, skrip Python anu dikembangkeun sareng dijaga ku Francesco Picasso, karyawan Reality Net System Solutions, bakal ngabantosan anjeun. Anjeun tiasa mendakan naskah ieu di , sareng pedaran langkung lengkepna aya dina "Huawei cadangan decryptor."
Cadangan HiSuite anu didekripsi teras tiasa diimpor sareng dianalisis nganggo utilitas forensik klasik (contona. ) atawa sacara manual.
papanggihan
Ku kituna, ngagunakeun utilitas cadangan HiSuite, Anjeun bisa nimba urutan gedena leuwih data ti smartphone Huawei ti nalika extracting data tina alat nu sami ngagunakeun utiliti ADB. Sanaos sajumlah ageung utilitas pikeun damel sareng telepon sélulér, Pusat Bukti Belkasoft sareng Ahli Forensik Seluler mangrupikeun sababaraha program forensik anu ngadukung ékstraksi sareng analisa cadangan HiSuite.
sumber
sumber: www.habr.com