🧕🏿 👩‍💼 🧑🏽‍🤝‍🧑🏼 تحليل الطب الشرعي للنسخ الاحتياطية HiSuite 👩🏾‍🎤 ‼️ 🚚

أصبح استرداد البيانات من أجهزة Android أكثر تعقيدًا كل يوم - وأحيانًا أكثر صعوبة من جهاز iPhone. يخبر إيغور ميخائيلوف ، المتخصص في مختبر مجموعة الطب الشرعي للكمبيوتر- IB ، ما يجب فعله إذا لم تتمكن من استخراج البيانات من هاتفك الذكي الذي يعمل بنظام Android باستخدام الطرق القياسية.

قبل بضع سنوات ، ناقشت أنا وزملائي الاتجاهات في تطوير آليات الأمان في أجهزة Android وتوصلوا إلى استنتاج مفاده أن الوقت سيأتي عندما يصبح تحقيق الطب الشرعي الخاص بهم أكثر صعوبة من أجهزة iOS. واليوم يمكننا القول بثقة أن هذه المرة قد حان.

لقد بحثت مؤخرًا في Huawei Honor 20 Pro. ما الذي تعتقد أنك تمكنت من استخراجه من النسخة الاحتياطية التي تم الحصول عليها باستخدام الأداة المساعدة ADB؟ لا شيئ! الجهاز مليء بالبيانات: معلومات حول المكالمات ، دليل الهاتف ، الرسائل القصيرة ، المراسلات في الرسائل ، البريد الإلكتروني ، ملفات الوسائط المتعددة ، إلخ. ولا يمكنك استخراج أي من هذا. مشاعر فظيعة!

كيف تكون في مثل هذه الحالة؟ أفضل طريقة للخروج هي استخدام أدوات النسخ الاحتياطي المملوكة (Mi PC Suite - للهواتف الذكية Xiaomi ، Samsung Smart Switch for - Samsung ، HiSuite for - Huawei).

في هذه المقالة ، سننظر في إنشاء واستخراج البيانات من هواتف Huawei الذكية باستخدام HiSuite وتحليلها اللاحق باستخدام Belkasoft Evidence Center.

ما أنواع البيانات التي تندرج في النسخ الاحتياطية لـ HiSuite؟

تقع أنواع البيانات التالية في النسخ الاحتياطية HiSuite:

معلومات الحساب وكلمة المرور (أو الرموز المميزة)
جهات الاتصال
التحديات
SMS و MMS
البريد الإلكتروني
ملفات الوسائط المتعددة
قاعدة البيانات
مستندات
أرشيف
ملفات التطبيق (الملفات ذات الامتدادات .odex ، .so ، .apk )
معلومات من التطبيقات (مثل Facebook و Google Drive و Google Photos و Google Mails و Google Maps و Instagram و WhatsApp و YouTube وما إلى ذلك)

سوف نحلل بمزيد من التفصيل كيفية إنشاء نسخة احتياطية وكيفية تحليلها باستخدام مركز أدلة Belkasoft.

النسخ الاحتياطي لهاتفك الذكي هواوي باستخدام HiSuite

لإنشاء نسخة احتياطية لأداة ملكية ، تحتاج إلى تنزيلها من موقع Huawei وتثبيتها.

صفحة تنزيل Huawei HiSuite:

لإقران الجهاز بالكمبيوتر ، يتم استخدام وضع HDB (Huawei Debug Bridge). على موقع Huawei أو في برنامج HiSuite نفسه ، هناك تعليمات تفصيلية حول كيفية تنشيط وضع HDB على جهاز محمول. بعد تنشيط وضع HDB ، قم بتشغيل تطبيق HiSuite على الجهاز المحمول وأدخل الرمز المعروض في هذا التطبيق في نافذة برنامج HiSuite التي تعمل على الكمبيوتر.

نافذة إدخال الرمز في إصدار سطح المكتب من HiSuite:

أثناء عملية النسخ الاحتياطي ، ستحتاج إلى إدخال كلمة مرور سيتم استخدامها لحماية البيانات المستردة من ذاكرة الجهاز. سيتم وضع النسخة الاحتياطية التي تم إنشاؤها على المسار C: / Users /٪ User Profile٪ / Documents / HiSuite / backup / .

النسخ الاحتياطي للهاتف الذكي Huawei Honor 20 Pro:

تحليل النسخ الاحتياطي HiSuite مع مركز أدلة Belkasoft

لتحليل النسخة الاحتياطية المستلمة باستخدام Belkasoft Evidence Center ، قم بإنشاء حالة جديدة. ثم حدد صورة الجوال كمصدر للبيانات . في القائمة التي تفتح ، حدد المسار إلى الدليل حيث يوجد النسخ الاحتياطي للهاتف الذكي ، وحدد ملف info.xml .

تحديد مسار النسخ الاحتياطي:

في النافذة التالية ، سيطالبك البرنامج بتحديد أنواع القطع الأثرية التي تحتاج إلى العثور عليها. بعد بدء الفحص ، انتقل إلى علامة التبويب إدارة المهام وانقر فوق زر تكوين المهمة ، حيث يتوقع البرنامج إدخال كلمة مرور لفك تشفير النسخة الاحتياطية المشفرة.

زر تكوين المهمة :

بعد فك تشفير النسخة الاحتياطية ، سيطلب منك مركز Belkasoft Evidence Center إعادة تحديد أنواع القطع الأثرية التي تريد استخراجها. بعد اكتمال التحليل ، يمكن عرض المعلومات حول العناصر المستخرجة في علامتي التبويب Case Explorer و Overview .

نتائج تحليل Huawei Honor 20 Pro:

تحليل النسخ الاحتياطي HiSuite باستخدام Oxygen Forensic Suite Expert

برنامج الطب الشرعي الآخر الذي يمكنك من خلاله استخراج البيانات من نسخة احتياطية HiSuite هو Mobile Forensic Expert .

لمعالجة البيانات المخزنة في نسخة HiSuite الاحتياطية ، انقر على خيار استيراد نسخ احتياطية في نافذة البرنامج الرئيسية.

جزء من النافذة الرئيسية لبرنامج "Oxygen Forensic Expert":

أو، في استيراد القسم، حدد نوع البيانات إلى الاستيراد. هواوي النسخ الاحتياطي :

في النافذة التي تفتح ، حدد المسار إلى ملف info.xml . في بداية إجراء الاستخراج ، ستظهر نافذة ستتم مطالبتك فيها بإدخال كلمة مرور معروفة لفك تشفير النسخة الاحتياطية HiSuite ، أو استخدام أداة Passware لمحاولة العثور على كلمة المرور هذه إذا كانت غير معروفة:

ستكون نتيجة تحليل النسخة الاحتياطية نافذة برنامج Oxygen Forensic Suite Expert ، الذي يعرض أنواع العناصر المستخرجة: المكالمات ، جهات الاتصال ، الرسائل ، الملفات ، الأحداث ، بيانات التطبيق. انتبه إلى كمية البيانات المستخرجة من تطبيقات مختلفة بواسطة برنامج الطب الشرعي هذا. إنه ضخم!

قائمة أنواع البيانات المستخرجة من النسخ الاحتياطي HiSuite في برنامج Oxygen Forensic Suite Expert:

فك تشفير النسخ الاحتياطية HiSuite

ماذا تفعل إذا لم يكن لديك هذه البرامج الرائعة؟ في هذه الحالة ، سوف يساعدك برنامج نصي Python تم تطويره وصيانته من قبل فرانشيسكو بيكاسو ، موظف في Reality Net System Solutions. يمكنك العثور على هذا النص البرمجي على GitHub ، ويمكن العثور على وصفه الأكثر تفصيلاً في مقالة "Huawei backup decryptor".

علاوة على ذلك ، يمكن استيراد وتحليل النسخ الاحتياطي HiSuite الذي تم فك تشفيره باستخدام أدوات الطب الشرعي الكلاسيكية (على سبيل المثال ، التشريح ) أو يدويًا.

الموجودات

وبالتالي ، باستخدام أداة النسخ الاحتياطي HiSuite ، يمكنك استخراج ترتيب حجم البيانات من هواتف Huawei الذكية أكثر من استخراج البيانات من نفس الأجهزة باستخدام الأداة المساعدة ADB. على الرغم من العدد الكبير من الأدوات المساعدة للعمل مع الهواتف المحمولة ، يعد Belkasoft Evidence Center و Oxygen Forensic Suite Expert بعضًا من برامج الطب الشرعي القليلة التي تدعم استخراج وتحليل النسخ الاحتياطية HiSuite.

تحديث

بعد اختبارات إضافية ، تم إنشاء ما يلي:

1) لا تدخل بيانات تطبيق Google Chrome في النسخ الاحتياطي HiSuite.

2) لسبب ما ، قام مطورو أداة النسخ الاحتياطي المسجلة الملكية بحظر نقل البيانات من عدد من التطبيقات إلى النسخ الاحتياطية التي تم إنشاؤها بواسطة إصدارات جديدة من HiSuite. لذلك ، إذا كنت ترغب في استخراج أقصى قدر من البيانات من هاتفك الذكي ، فاستخدم الإصدار الأقدم من HiSuite ، الذي يجب أن يتزامن تاريخ إصداره تقريبًا مع تاريخ إصدار الهاتف الذكي Huawei.

3) يجب أن يتوافق إصدار تطبيق Huawei Suite المثبت على الهاتف الذكي مع إصدار HiSuite المثبت على كمبيوتر الباحث.

المصادر

تحليل الطب الشرعي للنسخ الاحتياطية HiSuite