การวิเคราะห์ทางนิติวิทยาศาสตร์ของการสำรองข้อมูล HiSuite

การดึงข้อมูลจากอุปกรณ์ Android เริ่มยากขึ้นทุกวัน - บางครั้งก็ด้วยซ้ำ ยากขึ้นมากกว่าจากไอโฟน Igor Mikhailov ผู้เชี่ยวชาญจาก Group-IB Computer Forensics Laboratory บอกคุณว่าต้องทำอย่างไรหากคุณไม่สามารถดึงข้อมูลจากสมาร์ทโฟน Android ของคุณโดยใช้วิธีมาตรฐาน

หลายปีก่อน ฉันและเพื่อนร่วมงานได้พูดคุยถึงแนวโน้มในการพัฒนากลไกความปลอดภัยในอุปกรณ์ Android และได้ข้อสรุปว่าถึงเวลาที่การสืบสวนทางนิติวิทยาศาสตร์จะยากกว่าอุปกรณ์ iOS และวันนี้เราสามารถพูดได้อย่างมั่นใจว่าเวลานี้มาถึงแล้ว

ฉันเพิ่งรีวิว Huawei Honor 20 Pro คุณคิดว่าเราสามารถดึงข้อมูลจากข้อมูลสำรองที่ได้รับโดยใช้ยูทิลิตี้ ADB ได้อย่างไร ไม่มีอะไร! อุปกรณ์เต็มไปด้วยข้อมูล: ข้อมูลการโทร, สมุดโทรศัพท์, SMS, ข้อความโต้ตอบแบบทันที, อีเมล, ไฟล์มัลติมีเดีย ฯลฯ และคุณไม่สามารถเอาสิ่งนี้ออกไปได้ ความรู้สึกแย่มาก!

จะทำอย่างไรในสถานการณ์เช่นนี้? ทางออกที่ดีคือการใช้ยูทิลิตี้การสำรองข้อมูลที่เป็นกรรมสิทธิ์ (Mi PC Suite สำหรับสมาร์ทโฟน Xiaomi, Samsung Smart Switch สำหรับ Samsung, HiSuite สำหรับ Huawei)

ในบทความนี้เราจะดูการสร้างและการดึงข้อมูลจากสมาร์ทโฟน Huawei โดยใช้ยูทิลิตี้ HiSuite และการวิเคราะห์ในภายหลังโดยใช้ Belkasoft Evidence Center

ข้อมูลประเภทใดบ้างที่รวมอยู่ในการสำรองข้อมูล HiSuite

ข้อมูลประเภทต่อไปนี้รวมอยู่ในการสำรองข้อมูล HiSuite:

• ข้อมูลเกี่ยวกับบัญชีและรหัสผ่าน (หรือโทเค็น)
• ติดต่อ
• ความท้าทาย
• ข้อความ SMS และ MMS
• E-mail
• ไฟล์มัลติมีเดีย
• ฐานข้อมูล
• เอกสาร
• จดหมายเหตุ
• ไฟล์แอปพลิเคชัน (ไฟล์ที่มีนามสกุล.odex, .ดังนั้น, . เอพีเค)
• ข้อมูลจากแอปพลิเคชัน (เช่น Facebook, Google Drive, Google Photos, Google Mail, Google Maps, Instagram, WhatsApp, YouTube เป็นต้น)

ดูรายละเอียดเพิ่มเติมเกี่ยวกับวิธีการสร้างการสำรองข้อมูลและวิธีการวิเคราะห์โดยใช้ Belkasoft Evidence Center

การสำรองข้อมูลสมาร์ทโฟน Huawei โดยใช้ยูทิลิตี้ HiSuite

หากต้องการสร้างสำเนาสำรองด้วยยูทิลิตี้ที่เป็นกรรมสิทธิ์ คุณต้องดาวน์โหลดจากเว็บไซต์ หัวเว่ย และติดตั้ง

หน้าดาวน์โหลด HiSuite บนเว็บไซต์ Huawei:

ในการจับคู่อุปกรณ์กับคอมพิวเตอร์ จะใช้โหมด HDB (Huawei Debug Bridge) มีคำแนะนำโดยละเอียดบนเว็บไซต์ Huawei หรือในโปรแกรม HiSuite เกี่ยวกับวิธีการเปิดใช้งานโหมด HDB บนอุปกรณ์มือถือของคุณ หลังจากเปิดใช้งานโหมด HDB แล้ว ให้เปิดแอปพลิเคชัน HiSuite บนอุปกรณ์เคลื่อนที่ของคุณ และป้อนรหัสที่แสดงในแอปพลิเคชันนี้ลงในหน้าต่างโปรแกรม HiSuite ที่ทำงานบนคอมพิวเตอร์ของคุณ

หน้าต่างป้อนรหัสใน HiSuite เวอร์ชันเดสก์ท็อป:

ในระหว่างขั้นตอนการสำรองข้อมูล คุณจะถูกขอให้ป้อนรหัสผ่านซึ่งจะใช้เพื่อปกป้องข้อมูลที่ดึงมาจากหน่วยความจำของอุปกรณ์ สำเนาสำรองที่สร้างขึ้นจะตั้งอยู่ตามเส้นทาง C:/Users/%โปรไฟล์ผู้ใช้%/เอกสาร/HiSuite/สำรอง/.

การสำรองข้อมูลสมาร์ทโฟน Huawei Honor 20 Pro:

การวิเคราะห์การสำรองข้อมูล HiSuite โดยใช้ Belkasoft Evidence Center

เพื่อวิเคราะห์การสำรองข้อมูลผลลัพธ์โดยใช้ ศูนย์หลักฐาน Belkasoft สร้างธุรกิจใหม่ จากนั้นเลือกเป็นแหล่งข้อมูล รูปภาพบนมือถือ. ในเมนูที่เปิดขึ้น ให้ระบุเส้นทางไปยังไดเร็กทอรีที่สำรองข้อมูลสมาร์ทโฟนไว้ และเลือกไฟล์ ข้อมูล.xml.

การระบุเส้นทางไปยังการสำรองข้อมูล:

ในหน้าต่างถัดไป โปรแกรมจะแจ้งให้คุณเลือกประเภทของสิ่งประดิษฐ์ที่คุณต้องการค้นหา หลังจากเริ่มการสแกน ให้ไปที่แท็บ ที่ Task Manager และคลิกที่ปุ่ม กำหนดค่างานเนื่องจากโปรแกรมคาดหวังรหัสผ่านเพื่อถอดรหัสข้อมูลสำรองที่เข้ารหัส

ปุ่ม กำหนดค่างาน:

หลังจากถอดรหัสข้อมูลสำรองแล้ว Belkasoft Evidence Center จะขอให้คุณระบุประเภทของอาร์ติแฟกต์ที่จำเป็นต้องแตกอีกครั้ง หลังจากการวิเคราะห์เสร็จสิ้น ข้อมูลเกี่ยวกับอาร์ติแฟกต์ที่แยกออกมาสามารถดูได้ในแท็บ นักสำรวจเคส и ขององค์กร .

ผลการวิเคราะห์การสำรองข้อมูลของ Huawei Honor 20 Pro:

การวิเคราะห์การสำรองข้อมูล HiSuite โดยใช้โปรแกรม Mobile Forensic Expert

โปรแกรมทางนิติวิทยาศาสตร์อีกโปรแกรมหนึ่งที่สามารถใช้เพื่อดึงข้อมูลจากการสำรองข้อมูล HiSuite ได้คือ “ผู้เชี่ยวชาญด้านนิติเวชเคลื่อนที่”.

หากต้องการประมวลผลข้อมูลที่จัดเก็บไว้ในการสำรองข้อมูล HiSuite ให้คลิกที่ตัวเลือก กำลังนำเข้าข้อมูลสำรอง ในหน้าต่างโปรแกรมหลัก

ส่วนของหน้าต่างหลักของโปรแกรม "Mobile Forensic Expert":

หรือในส่วน การนำเข้า เลือกประเภทข้อมูลที่จะนำเข้า การสำรองข้อมูลของหัวเว่ย:

ในหน้าต่างที่เปิดขึ้น ให้ระบุเส้นทางไปยังไฟล์ ข้อมูล.xml. เมื่อคุณเริ่มขั้นตอนการแยกข้อมูล หน้าต่างจะปรากฏขึ้นโดยระบบจะขอให้คุณป้อนรหัสผ่านที่รู้จักเพื่อถอดรหัสการสำรองข้อมูล HiSuite หรือใช้เครื่องมือ Passware เพื่อลองเดารหัสผ่านนี้หากไม่ทราบ:

ผลลัพธ์ของการวิเคราะห์สำเนาสำรองจะเป็นหน้าต่างโปรแกรม "Mobile Forensic Expert" ซึ่งแสดงประเภทของสิ่งประดิษฐ์ที่แยกออกมา: การโทร ผู้ติดต่อ ข้อความ ไฟล์ ฟีดเหตุการณ์ ข้อมูลแอปพลิเคชัน ให้ความสนใจกับปริมาณข้อมูลที่ดึงมาจากแอปพลิเคชันต่างๆ โดยโปรแกรมนิติเวชนี้ มันใหญ่มาก!

รายการประเภทข้อมูลที่แยกจากการสำรองข้อมูล HiSuite ในโปรแกรม Mobile Forensic Expert:

กำลังถอดรหัสข้อมูลสำรอง HiSuite

จะทำอย่างไรถ้าคุณไม่มีโปรแกรมที่ยอดเยี่ยมเหล่านี้? ในกรณีนี้ สคริปต์ Python ที่พัฒนาและดูแลโดย Francesco Picasso พนักงานของ Reality Net System Solutions จะช่วยคุณได้ คุณสามารถค้นหาสคริปต์นี้ได้ที่ GitHubและมีคำอธิบายโดยละเอียดเพิ่มเติมอยู่ในนั้น статье “ตัวถอดรหัสสำรองของ Huawei”

จากนั้นข้อมูลสำรอง HiSuite ที่ถอดรหัสแล้วจะสามารถนำเข้าและวิเคราะห์ได้โดยใช้โปรแกรมอรรถประโยชน์ทางนิติเวชแบบคลาสสิก (เช่น การชันสูตรศพ) หรือด้วยตนเอง

ผลการวิจัย

ดังนั้น เมื่อใช้ยูทิลิตี้การสำรองข้อมูล HiSuite คุณสามารถดึงข้อมูลจากสมาร์ทโฟน Huawei ได้มากกว่าเมื่อดึงข้อมูลจากอุปกรณ์เดียวกันโดยใช้ยูทิลิตี้ ADB แม้จะมียูทิลิตี้จำนวนมากสำหรับการทำงานกับโทรศัพท์มือถือ Belkasoft Evidence Center และ Mobile Forensic Expert ก็เป็นหนึ่งในโปรแกรมทางนิติวิทยาศาสตร์ไม่กี่โปรแกรมที่รองรับการแยกและวิเคราะห์การสำรองข้อมูล HiSuite

แหล่งที่มา

1. โทรศัพท์ Android ถูกแฮ็กหนักกว่า iPhone ตามข้อมูลนักสืบ
2. Huawei Hi-Suite
3. ศูนย์หลักฐาน Belkasoft
4. ผู้เชี่ยวชาญด้านนิติเวชเคลื่อนที่
5. Kobackupธ.ค
6. ตัวถอดรหัสสำรองของ Huawei
7. การชันสูตรศพ

ที่มา: will.com