主持人 > 博客 > 管理 > HiSuite 备份的取证分析

HiSuite 备份的取证分析

HiSuite 备份的取证分析

从 Android 设备提取数据每天都变得越来越困难 - 有时甚至 更困难比从 iPhone 上。 Igor Mikhailov,IB 集团计算机取证实验室专家, 告诉您如果无法使用标准方法从 Android 智能手机中提取数据该怎么办。

几年前,我和我的同事讨论了 Android 设备安全机制的发展趋势,并得出结论:总有一天,他们的取证调查将变得比 iOS 设备更加困难。 今天我们可以充满信心地说,这个时刻已经到来。

我最近评测了华为荣耀20 Pro。 您认为我们从使用 ADB 实用程序获得的备份中提取了什么? 没有什么! 该设备充满了数据:通话信息、电话簿、短信、即时消息、电子邮件、多媒体文件等。 而你却无法把这些拿出来。 可怕的感觉!

遇到这种情况怎么办? 一个好的解决方案是使用专有的备份实用程序(适用于小米智能手机的 Mi PC Suite、适用于三星的 Samsung Smart Switch、适用于华为的 HiSuite)。

在本文中,我们将了解使用 HiSuite 实用程序从华为智能手机创建和提取数据,以及使用 Belkasoft Evidence Center 进行后续分析。

HiSuite 备份中包含哪些类型的数据?

HiSuite 备份中包含以下类型的数据:

  • 有关帐户和密码(或令牌)的数据
  • 联系方式
  • 挑战
  • 短信和彩信
  • 电子邮件
  • 多媒体文件
  • 数据库
  • 文档
  • 记录
  • 应用程序文件(扩展名为.odex, 。所以, APK。)
  • 来自应用程序(例如 Facebook、Google Drive、Google Photos、Google Mails、Google Maps、Instagram、WhatsApp、YouTube 等)的信息

让我们更详细地了解如何创建此类备份以及如何使用 Belkasoft 证据中心对其进行分析。

使用 HiSuite 实用程序备份华为智能手机

要使用专有实用程序创建备份副本,您需要从网站下载 华为 并安装。

华为网站HiSuite下载页面:

HiSuite 备份的取证分析
为了将设备与计算机配对,使用HDB(华为调试桥)模式。 华为网站或 HiSuite 程序本身有关于如何在移动设备上激活 HDB 模式的详细说明。 激活HDB模式后,在移动设备上启动HiSuite应用程序,并将该应用程序中显示的代码输入到计算机上运行的HiSuite程序窗口中。

HiSuite桌面版的代码输入窗口:

HiSuite 备份的取证分析
在备份过程中,系统会要求您输入密码,该密码将用于保护从设备内存中提取的数据。 创建的备份副本将位于路径上 C:/Users/%用户配置文件%/Documents/HiSuite/backup/.

华为荣耀20 Pro智能手机备份:

HiSuite 备份的取证分析

使用 Belkasoft Evidence Center 分析 HiSuite 备份

使用以下命令分析生成的备份 Belkasoft 证据中心 创建新业务。 然后选择作为数据源 手机图片。 在打开的菜单中,指定智能手机备份所在目录的路径并选择文件 信息文件.

指定备份路径:

HiSuite 备份的取证分析
在下一个窗口中,程序将提示您选择需要查找的工件类型。 开始扫描后,转到选项卡 Task Manager 然后点击按钮 配置任务,因为程序需要密码来解密加密的备份。

Кнопка 配置任务:

HiSuite 备份的取证分析
解密备份后,Belkasoft 证据中心将要求您重新指定需要提取的工件类型。 分析完成后,可以在选项卡中查看有关提取的工件的信息 案例浏览器 и 概述 .

华为荣耀20 Pro备份分析结果:

HiSuite 备份的取证分析

使用 Mobile Forensic Expert 程序分析 HiSuite 备份

另一个可用于从 HiSuite 备份中提取数据的取证程序是 《移动取证专家》.

要处理存储在 HiSuite 备份中的数据,请单击选项 导入备份 在主程序窗口中。

“移动取证专家”程序主窗口片段:

HiSuite 备份的取证分析
或者在该部分 进口 选择要导入的数据类型 华为备份:

HiSuite 备份的取证分析
在打开的窗口中,指定文件的路径 信息文件。 当您开始提取过程时,将出现一个窗口,要求您输入已知密码以解密 HiSuite 备份,或者使用 Passware 工具尝试猜测此密码(如果密码未知):

HiSuite 备份的取证分析
备份副本的分析结果将是“Mobile Forensic Expert”程序窗口,其中显示提取的工件类型:呼叫、联系人、消息、文件、事件源、应用程序数据。 请注意该取证程序从各种应用程序中提取的数据量。 实在是太大了!

Mobile Forensic Expert 程序中从 HiSuite 备份中提取的数据类型列表:

HiSuite 备份的取证分析

解密 HiSuite 备份

如果没有这些精彩的节目怎么办? 在这种情况下,由 Reality Net System Solutions 员工 Francesco Picasso 开发和维护的 Python 脚本将为您提供帮助。 您可以在以下位置找到此脚本 GitHub上,其更详细的描述位于 文章 “华为备份解密器。”

然后可以使用经典的取证实用程序(例如, 尸检)或手动。

发现

因此,使用 HiSuite 备份实用程序,您可以从华为智能手机中提取的数据比使用 ADB 实用程序从相同设备中提取的数据多一个数量级。 尽管有大量用于移动电话的实用程序,但 Belkasoft Evidence Center 和 Mobile Forensic Expert 是少数支持提取和分析 HiSuite 备份的取证程序。

来源

  1. 侦探称 Android 手机比 iPhone 更容易被黑客攻击
  2. 华为HiSuite
  3. Belkasoft 证据中心
  4. 移动取证专家
  5. 备份工具
  6. 华为备份解密器
  7. 尸检

来源: habr.com

添加评论