Вилучення даних з Android-пристроїв з кожним днем стає дедалі складнішим — часом навіть , ніж iPhone. Ігор Михайлов, спеціаліст Лабораторії комп'ютерної криміналістики Group-IB, розповідає, що робити, якщо ви не можете отримати дані зі смартфона на Android стандартними способами.
Кілька років тому ми з колегами обговорювали тенденції розвитку механізмів безпеки в Android-пристроях і дійшли думки, що настане час, коли їхнє криміналістичне дослідження стане важчим, ніж для iOS-пристроїв. І сьогодні з упевненістю можна сказати, що цей час настав.
Нещодавно я дослідив Huawei Honor 20 Pro. Як ви вважаєте, що вдалося витягти з його резервної копії, отриманої за допомогою утиліти ADB? Нічого! У пристрої повно даних: інформація про дзвінки, телефонна книга, SMS, листування в месенджерах, електронна пошта, мультимедійні файли і т.д. А ви не можете нічого цього вийняти. Жахливі відчуття!
Як же бути у такій ситуації? Хороший вихід - використання фірмових утиліт резервного копіювання (Mi PC Suite - для смартфонів Xiaomi, Samsung Smart Switch для Samsung, HiSuite для Huawei).
У цій статті ми розглянемо створення та вилучення даних зі смартфонів Huawei утилітою HiSuite та їх подальший аналіз за допомогою Belkasoft Evidence Center.
Які типи даних потрапляють у резервні копії HiSuite?
У резервні копії HiSuite потрапляють такі типи даних:
- дані про облікові записи та паролі (або токени)
- контакти
- виклики
- SMS- та MMS-повідомлення
- електронна пошта
- мультимедійні файли
- бази даних
- документи
- архіви
- файли додатків (файли з розширеннями.dex, .тому, . Apk)
- інформація з програм (таких як Facebook, Google Drive, Google Photos, Google Mails, Google Maps, Instagram, WhatsApp, YouTube тощо)
Розберемо докладніше, як створюється така резервна копія та як її проаналізувати за допомогою Belkasoft Evidence Center.
Створення резервної копії смартфона Huawei за допомогою утиліти HiSuite
Для створення резервної копії фірмової утилітою її потрібно завантажити із сайту та встановити.
Сторінка завантаження програми HiSuite на сайті Huawei:
Для створення пари пристрою з комп'ютером використовується режим HDB (Huawei Debug Bridge). На сайті Huawei або в самій програмі HiSuite є докладна інструкція щодо активації режиму HDB на мобільному пристрої. Після активації режиму HDB запустіть на мобільному пристрої програму HiSuite і введіть код, який відображається в цій програмі, у вікно програми HiSuite, запущеної на комп'ютері.
Вікно введення коду в десктопній версії HiSuite:
Під час створення резервної копії потрібно ввести пароль, який буде використовуватись для захисту даних, які виймали з пам'яті пристрою. Створена резервна копія розташовуватиметься по дорозі C:/Users/%User profile%/Documents/HiSuite/backup/.
Резервна копія смартфона Huawei Honor 20 Pro:
Аналіз резервної копії HiSuite за допомогою Belkasoft Evidence Center
Для аналізу отриманої резервної копії за допомогою створіть нову справу. Потім як джерело даних виберіть пункт Мобільний образ. У меню, що відкрилося, вкажіть шлях до каталогу, де розміщується резервна копія смартфона, і виберіть файл info.xml.
Вказівка шляху до резервної копії:
У наступному вікні програма запропонує вибрати типи артефактів, які потрібно знайти. Після запуску сканування перейдіть на вкладку Task Manager та клацніть кнопку Configure task, оскільки програма очікує на введення пароля для розшифровування зашифрованої резервної копії.
Кнопка Configure task:
Після розшифрування резервної копії Belkasoft Evidence Center попросить повторно вказати типи артефактів, які потрібно витягти. Після закінчення аналізу інформацію про вилучені артефакти можна переглянути у вкладках Case Explorer и огляд .
Результати аналізу резервної копії Huawei Honor 20 Pro:
Аналіз резервної копії HiSuite за допомогою програми «Мобільний Криміналіст Експерт»
Інша криміналістична програма, за допомогою якої можна отримати дані з резервної копії HiSuite, — .
Щоб обробити дані, що знаходяться в резервній копії HiSuite, клацніть на опцію Імпорт резервних копій у головному вікні програми.
Фрагмент головного вікна програми «Мобільний Криміналіст Експерт»:
Або в розділі Імпорт виберіть тип даних, що імпортуються Резервна копія Huawei:
У вікні вкажіть шлях до файлу info.xml. При старті процедури вилучення з'явиться вікно, в якому буде запропоновано або ввести відомий пароль для розшифровки резервної копії HiSuite, або застосувати інструмент Passware, щоб спробувати підібрати цей пароль, якщо він невідомий:
Підсумком аналізу резервної копії буде вікно програми «Мобільний Криміналіст Експерт», в якому показані типи артефактів, що витягли: дзвінки, контакти, повідомлення, файли, стрічка подій, дані додатків. Зверніть увагу на кількість даних, витягнутих із різних програм цієї криміналістичної програми. Він просто величезний!
Список видобутих типів даних із резервної копії HiSuite у програмі «Мобільний Криміналіст Експерт»:
Розшифровка резервних копій HiSuite
Що ж робити, якщо у вас немає цих чудових програм? У цьому випадку вам допоможе Python-скіпт, розроблений та підтримуваний Франческо Пікассо (Francesco Picasso), співробітником Reality Net System Solutions. Цей скрипт ви можете знайти на , а його більш докладний опис - "Huawei backup decryptor".
Надалі розшифрована резервна копія HiSuite може бути імпортована та проаналізована за допомогою класичних криміналістичних утиліт (наприклад, ) або вручну.
Висновки
Таким чином, використовуючи утиліту резервного копіювання HiSuite, зі смартфонів Huawei можна отримати на порядок більше даних, ніж при вилученні даних з цих пристроїв з використанням утиліти ADB. Незважаючи на велику кількість утиліт для роботи з мобільними телефонами, Belkasoft Evidence Center та «Мобільний Криміналіст Експерт» — одні з небагатьох криміналістичних програм, які підтримують вилучення та аналіз резервних копій HiSuite.
Джерела
Джерело: habr.com