Việc trích xuất dữ liệu từ thiết bị Android ngày càng trở nên khó khăn hơn - thậm chí đôi khi hơn là từ iPhone. Igor Mikhailov, chuyên gia tại Phòng thí nghiệm pháp y máy tính Group-IB, cho bạn biết phải làm gì nếu bạn không thể trích xuất dữ liệu từ điện thoại thông minh Android của mình bằng các phương pháp tiêu chuẩn.
Vài năm trước, tôi và các đồng nghiệp đã thảo luận về xu hướng phát triển cơ chế bảo mật trên thiết bị Android và đi đến kết luận rằng sẽ đến lúc việc điều tra pháp y của họ trở nên khó khăn hơn so với thiết bị iOS. Và hôm nay chúng ta có thể tự tin nói rằng thời điểm này đã đến.
Gần đây tôi đã xem xét Huawei Honor 20 Pro. Bạn nghĩ chúng tôi đã trích xuất được gì từ bản sao lưu thu được bằng tiện ích ADB? Không có gì! Trong máy có đầy đủ dữ liệu: thông tin cuộc gọi, danh bạ, SMS, tin nhắn tức thời, email, file đa phương tiện, v.v. Và bạn không thể lấy được thứ này ra ngoài. Cảm giác khủng khiếp!
Phải làm gì trong tình huống như vậy? Một giải pháp tốt là sử dụng các tiện ích sao lưu độc quyền (Mi PC Suite cho điện thoại thông minh Xiaomi, Samsung Smart Switch cho Samsung, HiSuite cho Huawei).
Trong bài viết này, chúng ta sẽ xem xét việc tạo và trích xuất dữ liệu từ điện thoại thông minh Huawei bằng tiện ích HiSuite và phân tích tiếp theo của chúng bằng Trung tâm Chứng cứ Belkasoft.
Những loại dữ liệu nào được bao gồm trong bản sao lưu HiSuite?
Các loại dữ liệu sau được bao gồm trong bản sao lưu HiSuite:
- dữ liệu về tài khoản và mật khẩu (hoặc mã thông báo)
- địa chỉ liên lạc
- thách thức
- Tin nhắn SMS và MMS
- tập tin đa phương tiện
- Cơ sở dữ liệu
- tài liệu
- kho lưu trữ
- tệp ứng dụng (tệp có phần mở rộng.odex, .vì thế, . Apk)
- thông tin từ các ứng dụng (chẳng hạn như Facebook, Google Drive, Google Photos, Google Mails, Google Maps, Instagram, WhatsApp, YouTube, v.v.)
Chúng ta hãy xem xét chi tiết hơn cách tạo bản sao lưu như vậy và cách phân tích nó bằng Trung tâm Chứng cứ Belkasoft.
Sao lưu điện thoại thông minh Huawei bằng tiện ích HiSuite
Để tạo bản sao lưu với tiện ích độc quyền, bạn cần tải xuống từ trang web và cài đặt.
Trang tải HiSuite trên website Huawei:
Để ghép nối thiết bị với máy tính, chế độ HDB (Cầu gỡ lỗi Huawei) được sử dụng. Có hướng dẫn chi tiết trên trang web Huawei hoặc trong chính chương trình HiSuite về cách kích hoạt chế độ HDB trên thiết bị di động của bạn. Sau khi kích hoạt chế độ HDB, hãy khởi chạy ứng dụng HiSuite trên thiết bị di động của bạn và nhập mã hiển thị trong ứng dụng này vào cửa sổ chương trình HiSuite đang chạy trên máy tính của bạn.
Cửa sổ nhập mã trong phiên bản HiSuite dành cho máy tính để bàn:
Trong quá trình sao lưu, bạn sẽ được yêu cầu nhập mật khẩu, mật khẩu này sẽ được sử dụng để bảo vệ dữ liệu được trích xuất từ bộ nhớ thiết bị. Bản sao lưu đã tạo sẽ nằm dọc theo đường dẫn C:/Users/%User profile%/Documents/HiSuite/backup/.
Sao lưu điện thoại thông minh Huawei Honor 20 Pro:
Phân tích bản sao lưu HiSuite bằng Trung tâm chứng cứ Belkasoft
Để phân tích bản sao lưu kết quả bằng cách sử dụng tạo ra một doanh nghiệp mới. Sau đó chọn làm nguồn dữ liệu Hình ảnh di động. Trong menu mở ra, hãy chỉ định đường dẫn đến thư mục chứa bản sao lưu điện thoại thông minh và chọn tệp thông tin.xml.
Chỉ định đường dẫn đến bản sao lưu:
Trong cửa sổ tiếp theo, chương trình sẽ nhắc bạn chọn loại hiện vật mà bạn cần tìm. Sau khi bắt đầu quét, hãy chuyển đến tab Task Manager và nhấp vào nút Cấu hình tác vụ, vì chương trình yêu cầu mật khẩu để giải mã bản sao lưu được mã hóa.
Кнопка Cấu hình tác vụ:
Sau khi giải mã bản sao lưu, Trung tâm Bằng chứng Belkasoft sẽ yêu cầu bạn chỉ định lại các loại tạo phẩm cần được trích xuất. Sau khi phân tích hoàn tất, thông tin về các tạo phẩm được trích xuất có thể được xem trong các tab Người khám phá trường hợp и Giới thiệu chung .
Kết quả phân tích sao lưu Huawei Honor 20 Pro:
Phân tích bản sao lưu HiSuite bằng chương trình Chuyên gia pháp y di động
Một chương trình điều tra khác có thể được sử dụng để trích xuất dữ liệu từ bản sao lưu HiSuite là .
Để xử lý dữ liệu được lưu trữ trong bản sao lưu HiSuite, hãy nhấp vào tùy chọn Nhập bản sao lưu trong cửa sổ chương trình chính.
Đoạn cửa sổ chính của chương trình “Chuyên gia pháp y di động”:
Hoặc ở phần Nhập khẩu chọn loại dữ liệu đã nhập sao lưu Huawei:
Trong cửa sổ mở ra, chỉ định đường dẫn đến tệp thông tin.xml. Khi bạn bắt đầu quy trình giải nén, một cửa sổ sẽ xuất hiện trong đó bạn sẽ được yêu cầu nhập mật khẩu đã biết để giải mã bản sao lưu HiSuite hoặc sử dụng công cụ Passware để thử đoán mật khẩu này nếu không xác định:
Kết quả phân tích bản sao lưu sẽ là cửa sổ chương trình “Chuyên gia pháp y di động”, hiển thị các loại hiện vật được trích xuất: cuộc gọi, danh bạ, tin nhắn, tệp, nguồn cấp dữ liệu sự kiện, dữ liệu ứng dụng. Hãy chú ý đến lượng dữ liệu được chương trình pháp y này trích xuất từ các ứng dụng khác nhau. Nó chỉ là rất lớn!
Danh sách các loại dữ liệu được trích xuất từ bản sao lưu HiSuite trong chương trình Chuyên gia pháp y di động:
Giải mã bản sao lưu HiSuite
Phải làm gì nếu bạn không có những chương trình tuyệt vời này? Trong trường hợp này, tập lệnh Python do Francesco Picasso, nhân viên của Reality Net System Solutions, phát triển và duy trì, sẽ giúp bạn. Bạn có thể tìm thấy tập lệnh này tại , và mô tả chi tiết hơn của nó có trong "Bộ giải mã dự phòng Huawei."
Sau đó, bản sao lưu HiSuite đã được giải mã có thể được nhập và phân tích bằng các tiện ích pháp lý cổ điển (ví dụ: ) hoặc bằng tay.
Những phát hiện
Do đó, bằng cách sử dụng tiện ích sao lưu HiSuite, bạn có thể trích xuất nhiều dữ liệu từ điện thoại thông minh Huawei hơn so với khi trích xuất dữ liệu từ cùng một thiết bị bằng tiện ích ADB. Mặc dù có số lượng lớn các tiện ích để làm việc với điện thoại di động, Trung tâm Bằng chứng Belkasoft và Chuyên gia Pháp y Di động vẫn nằm trong số ít các chương trình pháp y hỗ trợ trích xuất và phân tích các bản sao lưu HiSuite.
nguồn
Nguồn: www.habr.com