Android qurilmalaridan ma'lumotlarni olish kundan-kunga qiyinlashmoqda - ba'zan hatto qiyinroqiPhone dan ko'ra. Igor Mixaylov, Group-IB kompyuter sud-tibbiyot laboratoriyasi mutaxassisi, standart usullar yordamida Android smartfoningizdan ma'lumotlarni chiqara olmasangiz nima qilish kerakligini aytadi.
Bir necha yil oldin men va hamkasblarim Android qurilmalarida xavfsizlik mexanizmlarini rivojlantirish tendentsiyalarini muhokama qildik va ularning sud-tibbiy tekshiruvi iOS qurilmalariga qaraganda qiyinroq bo'ladigan vaqt keladi degan xulosaga keldik. Bugun esa ishonch bilan aytishimiz mumkinki, bu vaqt keldi.
Men yaqinda Huawei Honor 20 Pro-ni ko'rib chiqdim. Sizningcha, biz ADB yordam dasturi yordamida olingan zaxira nusxasidan nimani olishga muvaffaq bo'ldik? Hech narsa! Qurilma ma'lumotlarga to'la: qo'ng'iroq ma'lumotlari, telefon kitobi, SMS, lahzali xabarlar, elektron pochta, multimedia fayllari va boshqalar. Va siz bularning hech birini chiqara olmaysiz. Dahshatli tuyg'u!
Bunday vaziyatda nima qilish kerak? Yaxshi yechim - bu xususiy zaxira yordam dasturlaridan foydalanish (Xiaomi smartfonlari uchun Mi PC Suite, Samsung uchun Samsung Smart Switch, Huawei uchun HiSuite).
Ushbu maqolada biz HiSuite yordam dasturidan foydalangan holda Huawei smartfonlaridan ma'lumotlarni yaratish va olish va ularni Belkasoft Evidence Center yordamida keyingi tahlil qilishni ko'rib chiqamiz.
HiSuite zaxira nusxalariga qanday turdagi ma'lumotlar kiradi?
HiSuite zahiralariga quyidagi ma'lumotlar turlari kiritilgan:
hisoblar va parollar (yoki tokenlar) haqidagi ma'lumotlar
ilovalardagi ma'lumotlar (masalan, Facebook, Google Drive, Google Photos, Google Mails, Google Maps, Instagram, WhatsApp, YouTube va boshqalar)
Keling, bunday zaxira qanday yaratilganligini va uni Belkasoft Evidence Center yordamida qanday tahlil qilishni batafsil ko'rib chiqaylik.
HiSuite yordam dasturi yordamida Huawei smartfonining zaxira nusxasini yaratish
Mulkiy yordam dasturi bilan zaxira nusxasini yaratish uchun uni veb-saytdan yuklab olishingiz kerak Huawei va o'rnating.
Huawei veb-saytidagi HiSuite yuklab olish sahifasi:
Qurilmani kompyuter bilan ulash uchun HDB (Huawei Debug Bridge) rejimi ishlatiladi. Huawei veb-saytida yoki HiSuite dasturining o'zida mobil qurilmangizda HDB rejimini qanday faollashtirish bo'yicha batafsil ko'rsatmalar mavjud. HDB rejimini faollashtirgandan so'ng, mobil qurilmangizda HiSuite dasturini ishga tushiring va ushbu ilovada ko'rsatilgan kodni kompyuteringizda ishlaydigan HiSuite dasturi oynasiga kiriting.
HiSuite ish stoli versiyasida kod kiritish oynasi:
Zaxiralash jarayonida sizdan parolni kiritish so'raladi, u qurilma xotirasidan olingan ma'lumotlarni himoya qilish uchun ishlatiladi. Yaratilgan zaxira nusxasi yo'l bo'ylab joylashgan bo'ladi C:/Foydalanuvchilar/%Foydalanuvchi profili%/Hujjatlar/HiSuite/zaxira/.
Huawei Honor 20 Pro smartfonining zaxira nusxasi:
Belkasoft Evidence Center yordamida HiSuite zahirasini tahlil qilish
Olingan zaxirani tahlil qilish uchun Belkasoft dalillar markazi yangi biznes yaratish. Keyin ma'lumot manbai sifatida tanlang Mobil rasm. Ochilgan menyuda smartfonning zaxira nusxasi joylashgan katalogga yo'lni belgilang va faylni tanlang info.xml.
Zaxiraga yo'lni belgilash:
Keyingi oynada dastur sizga topilishi kerak bo'lgan artefakt turlarini tanlashni taklif qiladi. Skanerlashni boshlaganingizdan so'ng, yorliqga o'ting Vazifa menejeri va tugmani bosing Vazifani sozlash, chunki dastur shifrlangan zahiraning shifrini ochish uchun parol kutadi.
tugma Vazifani sozlash:
Zaxira nusxasini shifrlagandan so'ng, Belkasoft Evidence Center sizdan ajratib olinishi kerak bo'lgan artefakt turlarini qayta ko'rsatishingizni so'raydi. Tahlil tugagandan so'ng, olingan artefaktlar haqidagi ma'lumotlarni yorliqlarda ko'rish mumkin Case Explorer ΠΈ haqida umumiy ma'lumot .
Huawei Honor 20 Pro zaxira tahlili natijalari:
Mobile Forensic Expert dasturidan foydalangan holda HiSuite zaxira nusxasini tahlil qilish
HiSuite zahirasidan ma'lumotlarni olish uchun ishlatilishi mumkin bo'lgan yana bir sud-tibbiy dasturi "Mobil sud ekspertizasi".
HiSuite zaxirasida saqlangan ma'lumotlarni qayta ishlash uchun variantni bosing Zaxira nusxalarini import qilish dasturning asosiy oynasida.
"Mobil sud ekspertizasi" dasturining asosiy oynasi fragmenti:
Yoki bo'limda Import qilish import qilingan ma'lumotlar turini tanlang Huawei zaxira:
Ochilgan oynada faylga yo'lni belgilang info.xml. Chiqarish jarayonini boshlaganingizda, HiSuite zahirasining shifrini ochish uchun ma'lum parolni kiritishingiz yoki noma'lum bo'lsa, ushbu parolni topish uchun Passware vositasidan foydalanish so'raladigan oyna paydo bo'ladi:
Zaxira nusxasini tahlil qilish natijasi "Mobil sud ekspertizasi" dasturi oynasi bo'lib, unda chiqarilgan artefaktlar turlari ko'rsatiladi: qo'ng'iroqlar, kontaktlar, xabarlar, fayllar, voqealar tasmasi, dastur ma'lumotlari. Ushbu sud-tibbiyot dasturi tomonidan turli ilovalardan olingan ma'lumotlar miqdoriga e'tibor bering. Bu juda katta!
Mobil sud ekspertiza dasturida HiSuite zaxirasidan olingan ma'lumotlar turlari ro'yxati:
HiSuite zaxira nusxalarini shifrlash
Agar sizda bu ajoyib dasturlar bo'lmasa nima qilish kerak? Bunday holda, sizga Reality Net System Solutions xodimi Franchesko Pikasso tomonidan ishlab chiqilgan va qo'llab-quvvatlangan Python skripti yordam beradi. Ushbu skriptni quyidagi manzilda topishingiz mumkin GitHub, va uning batafsil tavsifi maqola "Huawei zaxira shifrlovchisi."
Keyin shifrlangan HiSuite zaxira nusxasini import qilish va klassik sud-tibbiy yordam dasturlari yordamida tahlil qilish mumkin (masalan. Otopsi) yoki qo'lda.
topilmalar
Shunday qilib, HiSuite zaxira yordam dasturidan foydalanib, siz Huawei smartfonlaridan ADB yordam dasturi yordamida bir xil qurilmalardan ma'lumotlarni olishdan ko'ra ko'proq ma'lumot olishingiz mumkin. Mobil telefonlar bilan ishlash uchun ko'p sonli yordamchi dasturlarga qaramay, Belkasoft Evidence Center va Mobile Sud eksperti HiSuite zaxira nusxalarini olish va tahlil qilishni qo'llab-quvvatlaydigan bir nechta sud ekspertiza dasturlari qatoriga kiradi.