Att extrahera data från Android-enheter blir svårare för varje dag – ibland till och med än från iPhone. Igor Mikhailov, specialist vid Group-IB Computer Forensics Laboratory, berättar vad du ska göra om du inte kan extrahera data från din Android-smarttelefon med standardmetoder.
För flera år sedan diskuterade jag och mina kollegor trender i utvecklingen av säkerhetsmekanismer i Android-enheter och kom fram till att tiden skulle komma då deras rättsmedicinska undersökning skulle bli svårare än för iOS-enheter. Och idag kan vi med tillförsikt säga att den här tiden har kommit.
Jag recenserade nyligen Huawei Honor 20 Pro. Vad tror du att vi lyckades extrahera från säkerhetskopian som erhölls med hjälp av ADB-verktyget? Ingenting! Enheten är full av data: samtalsinformation, telefonbok, SMS, snabbmeddelanden, e-post, multimediafiler, etc. Och du kan inte få ut något av det här. Hemsk känsla!
Vad ska man göra i en sådan situation? En bra lösning är att använda proprietära säkerhetskopieringsverktyg (Mi PC Suite för Xiaomi-smarttelefoner, Samsung Smart Switch för Samsung, HiSuite för Huawei).
I den här artikeln kommer vi att titta på skapandet och extraheringen av data från Huawei-smarttelefoner med hjälp av HiSuite-verktyget och deras efterföljande analys med Belkasoft Evidence Center.
Vilka typer av data ingår i HiSuite-säkerhetskopiorna?
Följande typer av data ingår i HiSuite-säkerhetskopiorna:
- data om konton och lösenord (eller tokens)
- Kontakter
- utmaningar
- SMS och MMS meddelanden
- e-post
- multimediafiler
- Databas
- dokumentation
- arkiv
- programfiler (filer med tillägg.odex, .så, . Apk)
- information från applikationer (som Facebook, Google Drive, Google Foton, Google Mails, Google Maps, Instagram, WhatsApp, YouTube, etc.)
Låt oss titta mer i detalj på hur en sådan säkerhetskopia skapas och hur man analyserar den med Belkasoft Evidence Center.
Säkerhetskopiera en Huawei-smarttelefon med hjälp av HiSuite-verktyget
För att skapa en säkerhetskopia med ett proprietärt verktyg måste du ladda ner det från webbplatsen och installera.
HiSuite nedladdningssida på Huaweis webbplats:
För att para ihop enheten med en dator används HDB-läge (Huawei Debug Bridge). Det finns detaljerade instruktioner på Huaweis webbplats eller i själva HiSuite-programmet om hur du aktiverar HDB-läge på din mobila enhet. När du har aktiverat HDB-läget startar du HiSuite-applikationen på din mobila enhet och anger koden som visas i denna applikation i HiSuite-programfönstret som körs på din dator.
Kodinmatningsfönster i skrivbordsversionen av HiSuite:
Under säkerhetskopieringen kommer du att bli ombedd att ange ett lösenord som kommer att användas för att skydda data som extraherats från enhetens minne. Den skapade säkerhetskopian kommer att finnas längs vägen C:/Users/%User profile%/Documents/HiSuite/backup/.
Huawei Honor 20 Pro-smarttelefon backup:
Analysera en HiSuite-säkerhetskopia med Belkasoft Evidence Center
För att analysera den resulterande säkerhetskopian med hjälp av skapa ett nytt företag. Välj sedan som datakälla Mobilbild. I menyn som öppnas, ange sökvägen till katalogen där smartphone-säkerhetskopian finns och välj filen info.xml.
Ange sökvägen till säkerhetskopian:
I nästa fönster kommer programmet att uppmana dig att välja de typer av artefakter som du behöver hitta. När du har startat skanningen, gå till fliken Task manager och klicka på knappen Konfigurera uppgift, eftersom programmet förväntar sig ett lösenord för att dekryptera den krypterade säkerhetskopian.
knapp Konfigurera uppgift:
Efter att ha dekrypterat säkerhetskopian kommer Belkasoft Evidence Center att be dig specificera om vilka typer av artefakter som behöver extraheras. Efter att analysen är klar kan information om de extraherade artefakterna ses på flikarna Case Explorer и Översikt .
Huawei Honor 20 Pro backup analysresultat:
Analys av en HiSuite backup med hjälp av programmet Mobile Forensic Expert
Ett annat kriminaltekniskt program som kan användas för att extrahera data från en HiSuite-säkerhetskopia är .
För att bearbeta data som lagras i en HiSuite-säkerhetskopia, klicka på alternativet Importera säkerhetskopior i huvudprogramfönstret.
Fragment av huvudfönstret i programmet "Mobile Forensic Expert":
Eller i avsnittet import välj typ av importerad data Huawei backup:
Ange sökvägen till filen i fönstret som öppnas info.xml. När du startar extraheringsproceduren visas ett fönster där du kommer att bli ombedd att antingen ange ett känt lösenord för att dekryptera HiSuite-säkerhetskopian, eller använda verktyget Passware för att försöka gissa detta lösenord om det är okänt:
Resultatet av analysen av säkerhetskopian blir programfönstret "Mobile Forensic Expert", som visar typerna av extraherade artefakter: samtal, kontakter, meddelanden, filer, händelseflöde, applikationsdata. Var uppmärksam på mängden data som extraheras från olika applikationer av detta rättsmedicinska program. Det är bara enormt!
Lista över extraherade datatyper från HiSuite backup i programmet Mobile Forensic Expert:
Dekrypterar HiSuite-säkerhetskopior
Vad ska du göra om du inte har dessa underbara program? I det här fallet kommer ett Python-skript som utvecklats och underhålls av Francesco Picasso, en anställd på Reality Net System Solutions, att hjälpa dig. Du hittar det här skriptet på , och dess mer detaljerade beskrivning finns i "Huawei backup-dekryptering."
Den dekrypterade HiSuite-säkerhetskopian kan sedan importeras och analyseras med hjälp av klassiska kriminaltekniska verktyg (t.ex. ) eller manuellt.
Resultat
Med hjälp av HiSuite-säkerhetskopieringsverktyget kan du alltså extrahera en storleksordning mer data från Huawei-smarttelefoner än när du extraherar data från samma enheter med hjälp av ADB-verktyget. Trots det stora antalet verktyg för att arbeta med mobiltelefoner, är Belkasoft Evidence Center och Mobile Forensic Expert bland de få kriminaltekniska program som stöder extrahering och analys av HiSuite-säkerhetskopior.
källor
Källa: will.com