Ang pagkuha ng data mula sa mga Android device ay nagiging mas mahirap araw-araw - kahit minsan mas mahirapkaysa sa iPhone. Igor Mikhailov, espesyalista sa Group-IB Computer Forensics Laboratory, sasabihin sa iyo kung ano ang gagawin kung hindi mo makuha ang data mula sa iyong Android smartphone gamit ang mga karaniwang pamamaraan.
Ilang taon na ang nakalilipas, tinalakay namin ng aking mga kasamahan ang mga uso sa pagbuo ng mga mekanismo ng seguridad sa mga Android device at napagpasyahan na darating ang panahon na magiging mas mahirap ang kanilang forensic investigation kaysa para sa mga iOS device. At ngayon masasabi natin nang may kumpiyansa na dumating na ang panahong ito.
Sinuri ko kamakailan ang Huawei Honor 20 Pro. Ano sa palagay mo ang nakuha namin mula sa backup na nakuha gamit ang ADB utility? Wala! Puno ng data ang device: impormasyon ng tawag, phone book, SMS, instant messaging, email, multimedia file, atbp. At hindi mo mailalabas ang alinman dito. Grabe ang feeling!
Ano ang gagawin sa ganoong sitwasyon? Ang isang magandang solusyon ay ang paggamit ng proprietary backup utilities (Mi PC Suite para sa Xiaomi smartphone, Samsung Smart Switch para sa Samsung, HiSuite para sa Huawei).
Sa artikulong ito titingnan natin ang paglikha at pagkuha ng data mula sa mga smartphone ng Huawei gamit ang HiSuite utility at ang kanilang kasunod na pagsusuri gamit ang Belkasoft Evidence Center.
Anong mga uri ng data ang kasama sa mga backup ng HiSuite?
Ang mga sumusunod na uri ng data ay kasama sa mga backup ng HiSuite:
data tungkol sa mga account at password (o mga token)
mga detalye ng contact
mga hamon
Mga mensaheng SMS at MMS
e-mail
multimedia file
Database
dokumentasyon
mga archive
mga file ng application (mga file na may mga extension.odex, .so, .apk)
impormasyon mula sa mga application (gaya ng Facebook, Google Drive, Google Photos, Google Mails, Google Maps, Instagram, WhatsApp, YouTube, atbp.)
Tingnan natin nang mas detalyado kung paano nilikha ang naturang backup at kung paano ito susuriin gamit ang Belkasoft Evidence Center.
Pag-back up ng Huawei smartphone gamit ang HiSuite utility
Upang lumikha ng isang backup na kopya na may pagmamay-ari na utility, kailangan mong i-download ito mula sa website HUAWEI at i-install.
Pahina ng pag-download ng HiSuite sa website ng Huawei:
Upang ipares ang device sa isang computer, ginagamit ang HDB (Huawei Debug Bridge) mode. May mga detalyadong tagubilin sa website ng Huawei o sa mismong programa ng HiSuite kung paano i-activate ang HDB mode sa iyong mobile device. Pagkatapos i-activate ang HDB mode, ilunsad ang HiSuite application sa iyong mobile device at ilagay ang code na ipinapakita sa application na ito sa HiSuite program window na tumatakbo sa iyong computer.
Code entry window sa desktop na bersyon ng HiSuite:
Sa panahon ng proseso ng pag-backup, kakailanganin mong magpasok ng password na gagamitin upang protektahan ang data na nakuha mula sa memorya ng device. Ang nilikhang backup na kopya ay matatagpuan sa kahabaan ng landas C:/Users/%User profile%/Documents/HiSuite/backup/.
Backup ng Huawei Honor 20 Pro smartphone:
Pagsusuri ng HiSuite backup gamit ang Belkasoft Evidence Center
Upang pag-aralan ang resultang backup gamit ang Belkasoft Evidence Center lumikha ng bagong negosyo. Pagkatapos ay piliin bilang ang data source Mobile na Larawan. Sa menu na bubukas, tukuyin ang path sa direktoryo kung saan matatagpuan ang backup ng smartphone at piliin ang file info.xml.
Pagtukoy sa landas patungo sa backup:
Sa susunod na window, ipo-prompt ka ng program na piliin ang mga uri ng artifact na kailangan mong hanapin. Pagkatapos simulan ang pag-scan, pumunta sa tab Task Manager at i-click ang pindutan I-configure ang gawain, dahil inaasahan ng programa ang isang password upang i-decrypt ang naka-encrypt na backup.
butones I-configure ang gawain:
Pagkatapos i-decrypt ang backup, hihilingin sa iyo ng Belkasoft Evidence Center na muling tukuyin ang mga uri ng artifact na kailangang kunin. Pagkatapos makumpleto ang pagsusuri, ang impormasyon tungkol sa mga nakuhang artifact ay maaaring matingnan sa mga tab Case Explorer ΠΈ Pangkalahatang-ideya .
Huawei Honor 20 Pro backup na mga resulta ng pagsusuri:
Pagsusuri ng HiSuite backup gamit ang Mobile Forensic Expert program
Ang isa pang forensic program na maaaring magamit upang kunin ang data mula sa isang HiSuite backup ay "Mobile Forensic Expert".
Upang iproseso ang data na nakaimbak sa isang HiSuite backup, mag-click sa opsyon Pag-import ng mga backup sa pangunahing window ng programa.
Fragment ng pangunahing window ng programang "Mobile Forensic Expert":
O sa seksyon Angkat piliin ang uri ng na-import na data Backup ng Huawei:
Sa window na bubukas, tukuyin ang path sa file info.xml. Kapag sinimulan mo ang pamamaraan ng pagkuha, lilitaw ang isang window kung saan hihilingin sa iyo na magpasok ng kilalang password upang i-decrypt ang HiSuite backup, o gamitin ang Passware tool upang subukang hulaan ang password na ito kung hindi ito kilala:
Ang resulta ng pagsusuri ng backup na kopya ay ang window ng programa na "Mobile Forensic Expert", na nagpapakita ng mga uri ng mga nakuhang artifact: mga tawag, contact, mensahe, file, feed ng kaganapan, data ng application. Bigyang-pansin ang dami ng data na nakuha mula sa iba't ibang mga application ng forensic program na ito. Napakalaki lang!
Listahan ng mga na-extract na uri ng data mula sa HiSuite backup sa Mobile Forensic Expert program:
Pagde-decrypt ng mga backup ng HiSuite
Ano ang gagawin kung wala kang mga magagandang programang ito? Sa kasong ito, makakatulong sa iyo ang isang script ng Python na binuo at pinananatili ni Francesco Picasso, isang empleyado ng Reality Net System Solutions. Mahahanap mo ang script na ito sa GitHub, at ang mas detalyadong paglalarawan nito ay nasa Artikulo "Huawei backup decryptor."
Ang naka-decrypt na backup na HiSuite ay maaaring ma-import at masuri gamit ang mga klasikong forensic utilities (hal. Autopsya) o mano-mano.
Natuklasan
Kaya, gamit ang HiSuite backup utility, maaari kang mag-extract ng isang order ng magnitude na higit pang data mula sa Huawei smartphones kaysa kapag kumukuha ng data mula sa parehong mga device gamit ang ADB utility. Sa kabila ng malaking bilang ng mga utility para sa pagtatrabaho sa mga mobile phone, ang Belkasoft Evidence Center at Mobile Forensic Expert ay kabilang sa ilang mga forensic program na sumusuporta sa pagkuha at pagsusuri ng mga backup ng HiSuite.