การดึงข้อมูลจากอุปกรณ์ Android เริ่มยากขึ้นทุกวัน - บางครั้งก็ด้วยซ้ำ
หลายปีก่อน ฉันและเพื่อนร่วมงานได้พูดคุยถึงแนวโน้มในการพัฒนากลไกความปลอดภัยในอุปกรณ์ Android และได้ข้อสรุปว่าถึงเวลาที่การสืบสวนทางนิติวิทยาศาสตร์จะยากกว่าอุปกรณ์ iOS และวันนี้เราสามารถพูดได้อย่างมั่นใจว่าเวลานี้มาถึงแล้ว
ฉันเพิ่งรีวิว Huawei Honor 20 Pro คุณคิดว่าเราสามารถดึงข้อมูลจากข้อมูลสำรองที่ได้รับโดยใช้ยูทิลิตี้ ADB ได้อย่างไร ไม่มีอะไร! อุปกรณ์เต็มไปด้วยข้อมูล: ข้อมูลการโทร, สมุดโทรศัพท์, SMS, ข้อความโต้ตอบแบบทันที, อีเมล, ไฟล์มัลติมีเดีย ฯลฯ และคุณไม่สามารถเอาสิ่งนี้ออกไปได้ ความรู้สึกแย่มาก!
จะทำอย่างไรในสถานการณ์เช่นนี้? ทางออกที่ดีคือการใช้ยูทิลิตี้การสำรองข้อมูลที่เป็นกรรมสิทธิ์ (Mi PC Suite สำหรับสมาร์ทโฟน Xiaomi, Samsung Smart Switch สำหรับ Samsung, HiSuite สำหรับ Huawei)
ในบทความนี้เราจะดูการสร้างและการดึงข้อมูลจากสมาร์ทโฟน Huawei โดยใช้ยูทิลิตี้ HiSuite และการวิเคราะห์ในภายหลังโดยใช้ Belkasoft Evidence Center
ข้อมูลประเภทใดบ้างที่รวมอยู่ในการสำรองข้อมูล HiSuite
ข้อมูลประเภทต่อไปนี้รวมอยู่ในการสำรองข้อมูล HiSuite:
- ข้อมูลเกี่ยวกับบัญชีและรหัสผ่าน (หรือโทเค็น)
- ติดต่อ
- ความท้าทาย
- ข้อความ SMS และ MMS
- ไฟล์มัลติมีเดีย
- ฐานข้อมูล
- เอกสาร
- จดหมายเหตุ
- ไฟล์แอปพลิเคชัน (ไฟล์ที่มีนามสกุล.odex, .ดังนั้น, . เอพีเค)
- ข้อมูลจากแอปพลิเคชัน (เช่น Facebook, Google Drive, Google Photos, Google Mail, Google Maps, Instagram, WhatsApp, YouTube เป็นต้น)
ดูรายละเอียดเพิ่มเติมเกี่ยวกับวิธีการสร้างการสำรองข้อมูลและวิธีการวิเคราะห์โดยใช้ Belkasoft Evidence Center
การสำรองข้อมูลสมาร์ทโฟน Huawei โดยใช้ยูทิลิตี้ HiSuite
หากต้องการสร้างสำเนาสำรองด้วยยูทิลิตี้ที่เป็นกรรมสิทธิ์ คุณต้องดาวน์โหลดจากเว็บไซต์
หน้าดาวน์โหลด HiSuite บนเว็บไซต์ Huawei:
ในการจับคู่อุปกรณ์กับคอมพิวเตอร์ จะใช้โหมด HDB (Huawei Debug Bridge) มีคำแนะนำโดยละเอียดบนเว็บไซต์ Huawei หรือในโปรแกรม HiSuite เกี่ยวกับวิธีการเปิดใช้งานโหมด HDB บนอุปกรณ์มือถือของคุณ หลังจากเปิดใช้งานโหมด HDB แล้ว ให้เปิดแอปพลิเคชัน HiSuite บนอุปกรณ์เคลื่อนที่ของคุณ และป้อนรหัสที่แสดงในแอปพลิเคชันนี้ลงในหน้าต่างโปรแกรม HiSuite ที่ทำงานบนคอมพิวเตอร์ของคุณ
หน้าต่างป้อนรหัสใน HiSuite เวอร์ชันเดสก์ท็อป:
ในระหว่างขั้นตอนการสำรองข้อมูล คุณจะถูกขอให้ป้อนรหัสผ่านซึ่งจะใช้เพื่อปกป้องข้อมูลที่ดึงมาจากหน่วยความจำของอุปกรณ์ สำเนาสำรองที่สร้างขึ้นจะตั้งอยู่ตามเส้นทาง C:/Users/%โปรไฟล์ผู้ใช้%/เอกสาร/HiSuite/สำรอง/.
การสำรองข้อมูลสมาร์ทโฟน Huawei Honor 20 Pro:
การวิเคราะห์การสำรองข้อมูล HiSuite โดยใช้ Belkasoft Evidence Center
เพื่อวิเคราะห์การสำรองข้อมูลผลลัพธ์โดยใช้
การระบุเส้นทางไปยังการสำรองข้อมูล:
ในหน้าต่างถัดไป โปรแกรมจะแจ้งให้คุณเลือกประเภทของสิ่งประดิษฐ์ที่คุณต้องการค้นหา หลังจากเริ่มการสแกน ให้ไปที่แท็บ ที่ Task Manager และคลิกที่ปุ่ม กำหนดค่างานเนื่องจากโปรแกรมคาดหวังรหัสผ่านเพื่อถอดรหัสข้อมูลสำรองที่เข้ารหัส
ปุ่ม กำหนดค่างาน:
หลังจากถอดรหัสข้อมูลสำรองแล้ว Belkasoft Evidence Center จะขอให้คุณระบุประเภทของอาร์ติแฟกต์ที่จำเป็นต้องแตกอีกครั้ง หลังจากการวิเคราะห์เสร็จสิ้น ข้อมูลเกี่ยวกับอาร์ติแฟกต์ที่แยกออกมาสามารถดูได้ในแท็บ นักสำรวจเคส и ขององค์กร .
ผลการวิเคราะห์การสำรองข้อมูลของ Huawei Honor 20 Pro:
การวิเคราะห์การสำรองข้อมูล HiSuite โดยใช้โปรแกรม Mobile Forensic Expert
โปรแกรมทางนิติวิทยาศาสตร์อีกโปรแกรมหนึ่งที่สามารถใช้เพื่อดึงข้อมูลจากการสำรองข้อมูล HiSuite ได้คือ
หากต้องการประมวลผลข้อมูลที่จัดเก็บไว้ในการสำรองข้อมูล HiSuite ให้คลิกที่ตัวเลือก กำลังนำเข้าข้อมูลสำรอง ในหน้าต่างโปรแกรมหลัก
ส่วนของหน้าต่างหลักของโปรแกรม "Mobile Forensic Expert":
หรือในส่วน การนำเข้า เลือกประเภทข้อมูลที่จะนำเข้า การสำรองข้อมูลของหัวเว่ย:
ในหน้าต่างที่เปิดขึ้น ให้ระบุเส้นทางไปยังไฟล์ ข้อมูล.xml. เมื่อคุณเริ่มขั้นตอนการแยกข้อมูล หน้าต่างจะปรากฏขึ้นโดยระบบจะขอให้คุณป้อนรหัสผ่านที่รู้จักเพื่อถอดรหัสการสำรองข้อมูล HiSuite หรือใช้เครื่องมือ Passware เพื่อลองเดารหัสผ่านนี้หากไม่ทราบ:
ผลลัพธ์ของการวิเคราะห์สำเนาสำรองจะเป็นหน้าต่างโปรแกรม "Mobile Forensic Expert" ซึ่งแสดงประเภทของสิ่งประดิษฐ์ที่แยกออกมา: การโทร ผู้ติดต่อ ข้อความ ไฟล์ ฟีดเหตุการณ์ ข้อมูลแอปพลิเคชัน ให้ความสนใจกับปริมาณข้อมูลที่ดึงมาจากแอปพลิเคชันต่างๆ โดยโปรแกรมนิติเวชนี้ มันใหญ่มาก!
รายการประเภทข้อมูลที่แยกจากการสำรองข้อมูล HiSuite ในโปรแกรม Mobile Forensic Expert:
กำลังถอดรหัสข้อมูลสำรอง HiSuite
จะทำอย่างไรถ้าคุณไม่มีโปรแกรมที่ยอดเยี่ยมเหล่านี้? ในกรณีนี้ สคริปต์ Python ที่พัฒนาและดูแลโดย Francesco Picasso พนักงานของ Reality Net System Solutions จะช่วยคุณได้ คุณสามารถค้นหาสคริปต์นี้ได้ที่
จากนั้นข้อมูลสำรอง HiSuite ที่ถอดรหัสแล้วจะสามารถนำเข้าและวิเคราะห์ได้โดยใช้โปรแกรมอรรถประโยชน์ทางนิติเวชแบบคลาสสิก (เช่น
ผลการวิจัย
ดังนั้น เมื่อใช้ยูทิลิตี้การสำรองข้อมูล HiSuite คุณสามารถดึงข้อมูลจากสมาร์ทโฟน Huawei ได้มากกว่าเมื่อดึงข้อมูลจากอุปกรณ์เดียวกันโดยใช้ยูทิลิตี้ ADB แม้จะมียูทิลิตี้จำนวนมากสำหรับการทำงานกับโทรศัพท์มือถือ Belkasoft Evidence Center และ Mobile Forensic Expert ก็เป็นหนึ่งในโปรแกรมทางนิติวิทยาศาสตร์ไม่กี่โปรแกรมที่รองรับการแยกและวิเคราะห์การสำรองข้อมูล HiSuite
แหล่งที่มา
โทรศัพท์ Android ถูกแฮ็กหนักกว่า iPhone ตามข้อมูลนักสืบ Huawei Hi-Suite ศูนย์หลักฐาน Belkasoft ผู้เชี่ยวชาญด้านนิติเวชเคลื่อนที่ Kobackupธ.ค ตัวถอดรหัสสำรองของ Huawei การชันสูตรศพ
ที่มา: will.com