从 Android 设备提取数据每天都变得越来越困难 - 有时甚至
几年前,我和我的同事讨论了 Android 设备安全机制的发展趋势,并得出结论:总有一天,他们的取证调查将变得比 iOS 设备更加困难。 今天我们可以充满信心地说,这个时刻已经到来。
我最近评测了华为荣耀20 Pro。 您认为我们从使用 ADB 实用程序获得的备份中提取了什么? 没有什么! 该设备充满了数据:通话信息、电话簿、短信、即时消息、电子邮件、多媒体文件等。 而你却无法把这些拿出来。 可怕的感觉!
遇到这种情况怎么办? 一个好的解决方案是使用专有的备份实用程序(适用于小米智能手机的 Mi PC Suite、适用于三星的 Samsung Smart Switch、适用于华为的 HiSuite)。
在本文中,我们将了解使用 HiSuite 实用程序从华为智能手机创建和提取数据,以及使用 Belkasoft Evidence Center 进行后续分析。
HiSuite 备份中包含哪些类型的数据?
HiSuite 备份中包含以下类型的数据:
- 有关帐户和密码(或令牌)的数据
- 联系方式
- 挑战
- 短信和彩信
- 电子邮件
- 多媒体文件
- 数据库
- 文档
- 记录
- 应用程序文件(扩展名为.odex, 。所以, APK。)
- 来自应用程序(例如 Facebook、Google Drive、Google Photos、Google Mails、Google Maps、Instagram、WhatsApp、YouTube 等)的信息
让我们更详细地了解如何创建此类备份以及如何使用 Belkasoft 证据中心对其进行分析。
使用 HiSuite 实用程序备份华为智能手机
要使用专有实用程序创建备份副本,您需要从网站下载
华为网站HiSuite下载页面:
为了将设备与计算机配对,使用HDB(华为调试桥)模式。 华为网站或 HiSuite 程序本身有关于如何在移动设备上激活 HDB 模式的详细说明。 激活HDB模式后,在移动设备上启动HiSuite应用程序,并将该应用程序中显示的代码输入到计算机上运行的HiSuite程序窗口中。
HiSuite桌面版的代码输入窗口:
在备份过程中,系统会要求您输入密码,该密码将用于保护从设备内存中提取的数据。 创建的备份副本将位于路径上 C:/Users/%用户配置文件%/Documents/HiSuite/backup/.
华为荣耀20 Pro智能手机备份:
使用 Belkasoft Evidence Center 分析 HiSuite 备份
使用以下命令分析生成的备份
指定备份路径:
在下一个窗口中,程序将提示您选择需要查找的工件类型。 开始扫描后,转到选项卡 Task Manager 然后点击按钮 配置任务,因为程序需要密码来解密加密的备份。
Кнопка 配置任务:
解密备份后,Belkasoft 证据中心将要求您重新指定需要提取的工件类型。 分析完成后,可以在选项卡中查看有关提取的工件的信息 案例浏览器 и 概述 .
华为荣耀20 Pro备份分析结果:
使用 Mobile Forensic Expert 程序分析 HiSuite 备份
另一个可用于从 HiSuite 备份中提取数据的取证程序是
要处理存储在 HiSuite 备份中的数据,请单击选项 导入备份 在主程序窗口中。
“移动取证专家”程序主窗口片段:
或者在该部分 进口 选择要导入的数据类型 华为备份:
在打开的窗口中,指定文件的路径 信息文件。 当您开始提取过程时,将出现一个窗口,要求您输入已知密码以解密 HiSuite 备份,或者使用 Passware 工具尝试猜测此密码(如果密码未知):
备份副本的分析结果将是“Mobile Forensic Expert”程序窗口,其中显示提取的工件类型:呼叫、联系人、消息、文件、事件源、应用程序数据。 请注意该取证程序从各种应用程序中提取的数据量。 实在是太大了!
Mobile Forensic Expert 程序中从 HiSuite 备份中提取的数据类型列表:
解密 HiSuite 备份
如果没有这些精彩的节目怎么办? 在这种情况下,由 Reality Net System Solutions 员工 Francesco Picasso 开发和维护的 Python 脚本将为您提供帮助。 您可以在以下位置找到此脚本
然后可以使用经典的取证实用程序(例如,
发现
因此,使用 HiSuite 备份实用程序,您可以从华为智能手机中提取的数据比使用 ADB 实用程序从相同设备中提取的数据多一个数量级。 尽管有大量用于移动电话的实用程序,但 Belkasoft Evidence Center 和 Mobile Forensic Expert 是少数支持提取和分析 HiSuite 备份的取证程序。
来源
来源: habr.com