HiSuite 備份的取證分析

從 Android 裝置中提取資料變得越來越困難——有時甚至 更加困難，比 iPhone 的快。 IB 集團電腦鑑識實驗室專家 Igor Mikhailov 告訴您如果無法使用標準方法從 Android 智慧型手機中提取資料該怎麼辦。

幾年前，我和同事討論了 Android 裝置安全機制的發展趨勢，並得出結論：總有一天，Android 裝置的取證分析會變得比 iOS 裝置更加困難。今天我們可以滿懷信心地說，這個時刻已經到來。

最近我評測了華為 Honor 20 Pro。您認為您能夠從使用 ADB 公用程式取得的備份副本中提取什麼？沒有什麼！該設備充滿了數據：通話訊息、電話簿、簡訊、即時訊息、電子郵件、多媒體檔案等。您無法提取其中的任何資料。感覺太糟糕了！

在這種情況下該怎麼辦？一個好的解決方案是使用專有備份實用程式（適用於小米智慧型手機的 Mi PC Suite、適用於三星的 Samsung Smart Switch、適用於華為的 HiSuite）。

在本文中，我們將研究如何使用 HiSuite 實用程式從華為智慧型手機建立和提取數據，然後使用 Belkasoft Evidence Center 進行分析。

HiSuite 備份包含哪些類型的資料？

HiSuite 備份包含以下類型的資料：

• 有關帳戶和密碼（或令牌）的數據
• 往來
• 挑戰
• SMS 和 MMS 訊息
• 電子郵件
• 多媒體檔案
• 數據庫
• 文檔
• 檔案
• 應用程式檔案（副檔名為.odex, 。所以, APK。)
• 來自應用程式的資訊（例如 Facebook、Google Drive、Google Photos、Google Mail、Google Maps、Instagram、WhatsApp、YouTube 等）

讓我們仔細看看如何建立這樣的備份副本以及如何使用 Belkasoft Evidence Center 對其進行分析。

使用 HiSuite 公用程式建立華為智慧型手機的備份副本

要使用專有實用程式建立備份副本，您需要從網站下載它 華為 並安裝。

華為官網HiSuite下載頁面：

HDB（華為調試橋）模式用於將設備與電腦配對。華為網站或 HiSuite 程式本身提供了有關如何在行動裝置上啟動 HDB 模式的詳細說明。啟動 HDB 模式後，在行動裝置上啟動 HiSuite 應用程序，並將應用程式中顯示的代碼輸入到電腦上執行的 HiSuite 程式視窗中。

HiSuite桌面版代碼輸入視窗：

在備份過程中，系統會要求您輸入密碼，該密碼將用於保護從裝置記憶體中提取的資料。建立的備份將位於路徑 C:/用戶/%用戶資料%/Documents/HiSuite/backup/.

華為 Honor 20 Pro 智慧型手機備份：

HiSuite 備份分析與 Belkasoft Evidence Center

若要使用下列方法分析產生的備份副本 Belkasoft 證據中心 建立新業務。然後選擇該項目作為資料來源 移動影像。在開啟的選單中，指定智慧型手機備份副本所在目錄的路徑並選擇文件 資訊檔案.

指定備份路徑：

在下一個視窗中，程式將提示您選擇要尋找的文物類型。開始掃描後，轉到選項卡 Task Manager 並點擊按鈕 配置任務，因為程式正在等待輸入密碼來解密加密的備份。

鈕 配置任務:

解密備份後，Belkasoft Evidence Center 會要求您重新指定要擷取的工件類型。分析完成後，可以在選項卡中查看有關提取的工件的信息 案例探索器 и 概覽 .

華為榮耀20 Pro備份分析結果：

HiSuite 備份分析與行動取證專家

另一個可以從 HiSuite 備份中提取資料的取證程序是 “手機取證專家”.

若要處理 HiSuite 備份中包含的數據，請按一下選項 導入備份 在主程式視窗中。

「移動取證專家」程式主視窗的片段：

或在部分 進口 選擇要匯入的資料類型 華為備份:

在開啟的視窗中，指定檔案的路徑 資訊檔案。當提取過程開始時，將出現一個窗口，要求您輸入已知密碼來解密 HiSuite 備份副本，或者如果不知道密碼，請使用 Passware 的工具嘗試猜測此密碼：

備份副本分析的結果將是行動取證專家程式的一個窗口，其中顯示提取的工件類型：呼叫、聯絡人、訊息、文件、事件提要、應用程式資料。請注意該取證程序從各種應用程式中提取的資料量。它真的非常大！

Mobile Forensic Expert 中從 HiSuite 備份中提取的資料類型清單：

解密 HiSuite 備份

如果沒有這些精彩的程式該怎麼辦？在這種情況下，您可以使用由 Reality Net System Solutions 員工 Francesco Picasso 開發和維護的 Python 腳本。您可以在以下位置找到此腳本 GitHub上，其更詳細的描述在 文章 「華為備份解密器」。

然後可以匯入解密的 HiSuite 備份，並使用經典取證工具進行分析（例如 屍檢）或手動。

發現

因此，使用 HiSuite 備份實用程序，您可以從華為智慧型手機中提取比使用 ADB 實用程式從相同裝置提取資料多一個數量級的資料。儘管用於處理手機的實用程式有很多，但 Belkasoft Evidence Center 和 Mobile Forensic Expert 是少數支援提取和分析 HiSuite 備份的取證程式之一。

來源

1. 偵探稱 Android 手機比 iPhone 更難被駭客入侵
2. 華為HiSuite
3. Belkasoft 證據中心
4. 行動取證專家
5. 備份日期
6. 華為備份解密器
7. 屍檢

來源： www.habr.com