主持人 > 博客 > 管理 > HiSuite 備份的取證分析

HiSuite 備份的取證分析

HiSuite 備份的取證分析

從 Android 裝置提取資料每天都變得越來越困難 - 有時甚至 更加困難比從 iPhone 上。 Igor Mikhailov,IB 集團電腦鑑識實驗室專家, 告訴您如果無法使用標準方法從 Android 智慧型手機中提取資料該怎麼辦。

幾年前,我和我的同事討論了 Android 裝置安全機制的發展趨勢,並得出結論:總有一天,他們的取證調查將變得比 iOS 裝置更加困難。 今天我們可以充滿信心地說,這個時刻已經到來。

我最近評測了華為榮耀20 Pro。 您認為我們從使用 ADB 實用程式獲得的備份中提取了什麼? 沒有什麼! 該設備充滿了數據:通話訊息、電話簿、簡訊、即時訊息、電子郵件、多媒體檔案等。 而你卻無法把這些拿出來。 可怕的感覺!

遇到這種情況怎麼辦? 一個好的解決方案是使用專有的備份實用程式(適用於小米智慧型手機的 Mi PC Suite、適用於三星的 Samsung Smart Switch、適用於華為的 HiSuite)。

在本文中,我們將了解使用 HiSuite 公用程式從華為智慧型手機建立和提取數據,以及使用 Belkasoft Evidence Center 進行後續分析。

HiSuite 備份包含哪些類型的資料?

HiSuite 備份中包含以下類型的資料:

  • 有關帳戶和密碼(或令牌)的數據
  • 往來
  • 挑戰
  • 簡訊和彩信
  • 電子郵件
  • 多媒體檔案
  • 數據庫
  • 文檔
  • 檔案
  • 應用程式檔案(副檔名為.odex, 。所以, APK。)
  • 來自應用程式(例如 Facebook、Google Drive、Google Photos、Google Mails、Google Maps、Instagram、WhatsApp、YouTube 等)的訊息

讓我們更詳細地了解如何建立此類備份以及如何使用 Belkasoft 證據中心對其進行分析。

使用 HiSuite 實用程式備份華為智慧型手機

要使用專有實用程式建立備份副本,您需要從網站下載 華為 並安裝。

華為網站HiSuite下載頁:

HiSuite 備份的取證分析
為了將設備與電腦配對,使用HDB(華為調試橋)模式。 華為網站或 HiSuite 程式本身有關於如何在行動裝置上啟動 HDB 模式的詳細說明。 啟動HDB模式後,在行動裝置上啟動HiSuite應用程序,並將該應用程式中顯示的代碼輸入到電腦上執行的HiSuite程式視窗中。

HiSuite桌面版的程式碼輸入視窗:

HiSuite 備份的取證分析
在備份過程中,系統會要求您輸入密碼,該密碼將用於保護從裝置記憶體中提取的資料。 建立的備份副本將位於路徑上 C:/Users/%使用者設定檔%/Documents/HiSuite/backup/.

華為榮耀20 Pro智慧型手機備份:

HiSuite 備份的取證分析

使用 Belkasoft Evidence Center 分析 HiSuite 備份

使用以下命令分析產生的備份 Belkasoft 證據中心 建立新業務。 然後選擇作為資料來源 手機圖片。 在開啟的選單中,指定智慧型手機備份所在目錄的路徑並選擇文件 資訊.xml.

指定備份路徑:

HiSuite 備份的取證分析
在下一個視窗中,程式將提示您選擇需要尋找的工件類型。 開始掃描後,轉到選項卡 Task Manager 並點擊按鈕 配置任務,因為程式需要密碼來解密加密的備份。

配置任務:

HiSuite 備份的取證分析
解密備份後,Belkasoft 證據中心將要求您重新指定需要擷取的工件類型。 分析完成後,可以在選項卡中查看有關提取的工件的信息 案例瀏覽器 и 概述 .

華為榮耀20 Pro備份分析結果:

HiSuite 備份的取證分析

使用 Mobile Forensic Expert 程式分析 HiSuite 備份

另一個可用於從 HiSuite 備份中提取資料的取證程序是 《行動取證專家》.

若要處理儲存在 HiSuite 備份中的數據,請按一下選項 導入備份 在主程式視窗中。

「移動取證專家」程式主視窗片段:

HiSuite 備份的取證分析
或在該部分 進口 選擇導入資料的類型 華為備份:

HiSuite 備份的取證分析
在開啟的視窗中,指定檔案的路徑 資訊.xml。 當您開始提取過程時,將出現一個窗口,要求您輸入已知密碼以解密 HiSuite 備份,或使用 Passware 工具嘗試猜測此密碼(如果密碼未知):

HiSuite 備份的取證分析
備份副本的分析結果將是「Mobile Forensic Expert」程式窗口,顯示提取的工件類型:呼叫、聯絡人、訊息、檔案、事件來源、應用程式資料。 請注意該取證程序從各種應用程式中提取的資料量。 實在是太大了!

Mobile Forensic Expert 程式中從 HiSuite 備份中擷取的資料類型清單:

HiSuite 備份的取證分析

解密 HiSuite 備份

如果沒有這些精彩的節目怎麼辦? 在這種情況下,由 Reality Net System Solutions 員工 Francesco Picasso 開發和維護的 Python 腳本將為您提供協助。 您可以在以下位置找到此腳本 GitHub上,其更詳細的描述位於 文章 “華為備份解密器。”

然後可以使用經典的取證實用程式(例如, 屍檢)或手動。

發現

因此,使用 HiSuite 備份實用程序,您可以從華為智慧型手機中提取的資料比使用 ADB 實用程式從相同裝置中提取的資料多一個數量級。 儘管有大量用於行動電話的實用程序,但 Belkasoft Evidence Center 和 Mobile Forensic Expert 是少數支援提取和分析 HiSuite 備份的取證程序。

來源

  1. 偵探稱 Android 手機比 iPhone 更容易被駭客攻擊
  2. 華為HiSuite
  3. Belkasoft 證據中心
  4. 行動取證專家
  5. 備份工具
  6. 華為備份解密器
  7. 屍檢

來源: www.habr.com

添加評論