Android cihazlardan veri çıkarmak her geçen gün daha da zorlaşıyor, hatta bazen iPhone'dan daha. Grup-IB Bilgisayar Adli Tıp Laboratuvarı uzmanı Igor Mikhailov, Standart yöntemleri kullanarak Android akıllı telefonunuzdan veri çıkaramazsanız ne yapmanız gerektiğini size söyler.
Birkaç yıl önce meslektaşlarım ve ben Android cihazlardaki güvenlik mekanizmalarının geliştirilmesindeki eğilimleri tartıştık ve adli soruşturmaların iOS cihazlara göre daha zor hale geleceği zamanın geleceği sonucuna vardık. Ve bugün bu zamanın geldiğini güvenle söyleyebiliriz.
Geçenlerde Huawei Honor 20 Pro'yu inceledim. ADB yardımcı programını kullanarak elde edilen yedeğinden ne çıkarmayı başardığımızı düşünüyorsunuz? Hiç bir şey! Cihaz verilerle dolu: arama bilgileri, telefon rehberi, SMS, anlık mesajlaşma, e-posta, multimedya dosyaları vb. Ve bunların hiçbirini çıkaramazsınız. Korkunç bir duygu!
Böyle bir durumda ne yapmalı? Tescilli yedekleme yardımcı programlarının kullanılması iyi bir çözümdür (Xiaomi akıllı telefonlar için Mi PC Suite, Samsung için Samsung Smart Switch, Huawei için HiSuite).
Bu makalede, HiSuite yardımcı programını kullanarak Huawei akıllı telefonlardan veri oluşturulmasına ve çıkarılmasına ve bunların Belkasoft Kanıt Merkezi kullanılarak sonraki analizlerine bakacağız.
HiSuite yedeklemelerine ne tür veriler dahildir?
HiSuite yedeklemelerine aşağıdaki veri türleri dahildir:
- hesaplar ve şifreler (veya jetonlar) hakkındaki veriler
- İletişim
- zorluklar
- SMS ve MMS mesajları
- multimedya dosyaları
- Veri tabanı
- belgeleme
- arşivler
- uygulama dosyaları (uzantıları olan dosyalar).odex, .yani, . APK)
- uygulamalardan gelen bilgiler (Facebook, Google Drive, Google Fotoğraflar, Google Mail, Google Haritalar, Instagram, WhatsApp, YouTube vb.)
Böyle bir yedeğin nasıl oluşturulduğuna ve Belkasoft Evidence Center kullanılarak nasıl analiz edileceğine daha ayrıntılı olarak bakalım.
HiSuite yardımcı programını kullanarak Huawei akıllı telefonunu yedekleme
Tescilli bir yardımcı programla yedek kopya oluşturmak için onu web sitesinden indirmeniz gerekir. ve yükleyin.
Huawei web sitesinde HiSuite indirme sayfası:
Cihazı bir bilgisayarla eşleştirmek için HDB (Huawei Debug Bridge) modu kullanılır. Huawei web sitesinde veya HiSuite programının kendisinde, mobil cihazınızda HDB modunun nasıl etkinleştirileceğine ilişkin ayrıntılı talimatlar bulunmaktadır. HDB modunu etkinleştirdikten sonra mobil cihazınızda HiSuite uygulamasını başlatın ve bu uygulamada görüntülenen kodu bilgisayarınızda çalışan HiSuite program penceresine girin.
HiSuite'in masaüstü sürümündeki kod giriş penceresi:
Yedekleme işlemi sırasında, cihazın hafızasından çıkarılan verileri korumak için kullanılacak bir şifre girmeniz istenecektir. Oluşturulan yedek kopya yol boyunca yer alacaktır C:/Kullanıcılar/%Kullanıcı profili%/Documents/HiSuite/backup/.
Huawei Honor 20 Pro akıllı telefon yedeklemesi:
Belkasoft Evidence Center'ı kullanarak bir HiSuite yedeklemesini analiz etme
Ortaya çıkan yedeklemeyi kullanarak analiz etmek için yeni bir iş yaratmak. Ardından veri kaynağı olarak seçin Mobil Resim. Açılan menüde akıllı telefon yedeklemesinin bulunduğu dizinin yolunu belirtin ve dosyayı seçin bilgi.xml.
Yedeklemenin yolunu belirtme:
Bir sonraki pencerede program sizden bulmanız gereken eser türlerini seçmenizi isteyecektir. Taramayı başlattıktan sonra sekmeye gidin görev Yöneticisi ve düğmeye tıklayın Görevi yapılandırçünkü program, şifrelenmiş yedeklemenin şifresini çözmek için bir parola beklemektedir.
Düğme Görevi yapılandır:
Yedeğin şifresini çözdükten sonra Belkasoft Kanıt Merkezi, çıkarılması gereken yapı türlerini yeniden belirlemenizi isteyecektir. Analiz tamamlandıktan sonra çıkarılan eserlere ilişkin bilgiler sekmelerde görüntülenebilir Vaka Gezgini и Genel Bakış .
Huawei Honor 20 Pro yedekleme analizi sonuçları:
Mobile Forensic Expert programını kullanarak HiSuite yedeklemesinin analizi
HiSuite yedeklemesinden veri çıkarmak için kullanılabilecek başka bir adli program .
HiSuite yedeklemesinde saklanan verileri işlemek için seçeneğe tıklayın Yedeklemeleri içe aktarma ana program penceresinde.
“Mobil Adli Tıp Uzmanı” programının ana penceresinin bir parçası:
Veya bölümde Ithalat içe aktarılacak veri türünü seçin Huawei yedekleme:
Açılan pencerede dosyanın yolunu belirtin bilgi.xml. Çıkarma prosedürünü başlattığınızda, HiSuite yedeklemesinin şifresini çözmek için bilinen bir şifre girmenizin isteneceği veya bilinmiyorsa bu şifreyi tahmin etmeye çalışmak için Şifre aracını kullanmanız istenecek bir pencere görünecektir:
Yedek kopyanın analizinin sonucu, çıkarılan eserlerin türlerini gösteren "Mobil Adli Tıp Uzmanı" program penceresi olacaktır: çağrılar, kişiler, mesajlar, dosyalar, olay akışı, uygulama verileri. Bu adli program tarafından çeşitli uygulamalardan elde edilen veri miktarına dikkat edin. Çok büyük!
Mobile Forensic Expert programındaki HiSuite yedeklemesinden çıkarılan veri türlerinin listesi:
HiSuite yedeklemelerinin şifresini çözme
Bu harika programlara sahip değilseniz ne yapmalısınız? Bu durumda Reality Net System Solutions çalışanı Francesco Picasso tarafından geliştirilen ve bakımı yapılan Python betiği size yardımcı olacaktır. Bu betiği şu adreste bulabilirsiniz: ve daha ayrıntılı açıklaması şuradadır: "Huawei yedek şifre çözücü."
Şifresi çözülmüş HiSuite yedeği daha sonra klasik adli tıp yardımcı programları (örn. ) veya manuel olarak.
Bulgular
Böylece, HiSuite yedekleme yardımcı programını kullanarak, Huawei akıllı telefonlarından, ADB yardımcı programını kullanarak aynı cihazlardan veri ayıklarken olduğundan çok daha fazla veri çıkarabilirsiniz. Cep telefonlarıyla çalışmaya yönelik çok sayıda yardımcı programa rağmen Belkasoft Evidence Center ve Mobile Forensic Expert, HiSuite yedeklerinin çıkarılmasını ve analizini destekleyen birkaç adli tıp programı arasındadır.
kaynaklar
Kaynak: habr.com