Get best of the week

Forensische Analyse von HiSuite-Backups



Das Abrufen von Daten von Android-Geräten wird von Tag zu Tag schwieriger - manchmal sogar schwieriger als vom iPhone. Igor Mikhailov, Spezialist für Computer-Forensik-Labor der Gruppe IB, erklärt , was zu tun ist, wenn Sie mit Standardmethoden keine Daten von einem Android-Smartphone extrahieren können.

Vor einigen Jahren diskutierten meine Kollegen und ich Trends bei der Entwicklung von Sicherheitsmechanismen in Android-Geräten und kamen zu dem Schluss, dass die Zeit kommen wird, in der ihre forensischen Untersuchungen schwieriger werden als bei iOS-Geräten. Und heute können wir mit Zuversicht sagen, dass diese Zeit gekommen ist.

Ich habe kürzlich das Huawei Honor 20 Pro recherchiert. Was haben Sie Ihrer Meinung nach aus der Sicherungskopie extrahiert, die Sie mit dem ADB-Dienstprogramm erhalten haben? Nichts! Das Gerät ist voller Daten: Informationen zu Anrufen, Telefonbuch, SMS, Korrespondenz in Messenger, E-Mail, Multimediadateien usw. Und Sie können nichts davon extrahieren. Schreckliche Gefühle!

Wie kann man in einer solchen Situation sein? Ein guter Ausweg ist die Verwendung proprietärer Backup-Dienstprogramme (Mi PC Suite - für Xiaomi-Smartphones, Samsung Smart Switch für - Samsung, HiSuite für - Huawei).

In diesem Artikel werden wir die Erstellung und Extraktion von Daten von Huawei-Smartphones mit HiSuite und deren anschließende Analyse mit Belkasoft Evidence Center betrachten.

Welche Datentypen fallen in HiSuite-Backups?


Die folgenden Datentypen fallen in HiSuite-Backups:

  • Konto- und Passwortinformationen (oder Token)
  • Kontakte
  • Herausforderungen
  • SMS und MMS
  • E-Mail
  • Multimedia-Dateien
  • Datenbank
  • Unterlagen
  • Archiv
  • Anwendungsdateien (Dateien mit den Erweiterungen .odex , .so , .apk )
  • Informationen aus Anwendungen (wie Facebook, Google Drive, Google Fotos, Google Mails, Google Maps, Instagram, WhatsApp, YouTube usw.)

Wir werden detaillierter analysieren, wie ein solches Backup erstellt wird und wie es mit Belkasoft Evidence Center analysiert wird.

Sichern Sie Ihr Huawei-Smartphone mit HiSuite


Um ein Backup eines proprietären Dienstprogramms zu erstellen, müssen Sie es von der Huawei- Website herunterladen und installieren.

Huawei HiSuite Download-Seite:


Um das Gerät mit dem Computer zu koppeln, wird der HDB-Modus (Huawei Debug Bridge) verwendet. Auf der Huawei-Website oder im HiSuite-Programm selbst finden Sie detaillierte Anweisungen zum Aktivieren des HDB-Modus auf einem mobilen Gerät. Starten Sie nach dem Aktivieren des HDB-Modus die HiSuite-Anwendung auf dem mobilen Gerät und geben Sie den in dieser Anwendung angezeigten Code in das auf dem Computer ausgeführte HiSuite-Programmfenster ein.

Das Code-Eingabefenster in der Desktop-Version von HiSuite:


Während des Sicherungsvorgangs müssen Sie ein Kennwort eingeben, das zum Schutz der aus dem Gerätespeicher abgerufenen Daten verwendet wird. Die erstellte Sicherung befindet sich im Pfad C: / Benutzer /% Benutzerprofil% / Dokumente / HiSuite / backup / .

Backup-Smartphone Huawei Honor 20 Pro:


HiSuite Backup-Analyse mit Belkasoft Evidence Center


Erstellen Sie einen neuen Fall, um das empfangene Backup mithilfe des Belkasoft Evidence Center zu analysieren . Wählen Sie dann Mobile Image als Datenquelle . Geben Sie im folgenden Menü den Pfad zu dem Verzeichnis an, in dem sich die Smartphone-Sicherung befindet, und wählen Sie die Datei info.xml aus .

Angeben des Pfads zur Sicherung:


Im nächsten Fenster werden Sie vom Programm aufgefordert, die Arten von Artefakten auszuwählen, die Sie suchen müssen. Wechseln Sie nach dem Starten des Scans zur Registerkarte Task-Manager und klicken Sie auf die Schaltfläche Task konfigurieren , da das Programm erwartet, ein Kennwort zum Entschlüsseln der verschlüsselten Sicherung einzugeben. Task-

Schaltfläche konfigurieren :


Nach dem Entschlüsseln der Sicherung werden Sie vom Belkasoft Evidence Center aufgefordert, die Arten von Artefakten, die Sie extrahieren möchten, erneut anzugeben. Nach Abschluss der Analyse können Informationen zu den extrahierten Artefakten auf den Registerkarten Fall-Explorer und Übersicht angezeigt werden .

Ergebnisse der Huawei Honor 20 Pro Backup-Analyse:


Analyse der HiSuite-Sicherung mit Oxygen Forensic Suite Expert


Ein weiteres forensisches Programm, mit dem Sie Daten aus einem HiSuite-Backup extrahieren können, ist Mobile Forensic Expert .

Um die Daten in der HiSuite Backup gespeichert zu verarbeiten, klicken Sie auf der Import - Backups Option im Hauptfenster des Programms.

Fragment des Hauptfensters des Programms "Oxygen Forensic Expert":


Oder wählen Sie im Abschnitt Importieren den zu importierenden Datentyp aus. Huawei Backup :


Geben Sie im folgenden Fenster den Pfad zur Datei info.xml an . Wenn der Extraktionsvorgang beginnt, wird ein Fenster angezeigt, in dem Sie aufgefordert werden, entweder ein bekanntes Kennwort einzugeben, um die HiSuite-Sicherung zu entschlüsseln, oder mit dem Passware-Tool zu versuchen, dieses Kennwort zu finden, wenn es unbekannt ist:


Das Ergebnis der Analyse der Sicherung ist das Fenster des Oxygen Forensic Suite Expert-Programms, in dem die Arten der extrahierten Artefakte angezeigt werden: Anrufe, Kontakte, Nachrichten, Dateien, Ereignisse, Anwendungsdaten. Achten Sie auf die Datenmenge, die von diesem forensischen Programm aus verschiedenen Anwendungen extrahiert wird. Er ist einfach riesig!

Liste der aus der HiSuite-Sicherung extrahierten Datentypen im Oxygen Forensic Suite Expert-Programm:


Entschlüsselung von HiSuite-Backups


Was tun, wenn Sie diese wunderbaren Programme nicht haben? In diesem Fall wird Ihnen ein Python-Skript helfen, das von Francesco Picasso, einem Mitarbeiter von Reality Net System Solutions, entwickelt und verwaltet wird. Sie finden dieses Skript auf GitHub . Die ausführlichere Beschreibung finden Sie im Artikel „Huawei Backup Decryptor“.

Darüber hinaus kann das entschlüsselte HiSuite-Backup mithilfe klassischer forensischer Tools (z. B. Autopsie ) oder manuell importiert und analysiert werden.

Ergebnisse


Mit dem HiSuite-Sicherungsdienstprogramm können Sie also um eine Größenordnung mehr Daten von Huawei-Smartphones extrahieren als mit dem ADB-Dienstprogramm. Trotz der großen Anzahl von Dienstprogrammen für die Arbeit mit Mobiltelefonen sind Belkasoft Evidence Center und Oxygen Forensic Suite Expert einige der wenigen forensischen Programme, die das Extrahieren und Analysieren von HiSuite-Backups unterstützen.

Aktualisieren


Nach zusätzlichen Tests wurde Folgendes festgestellt:

1) Die Daten der Google Chrome-Anwendung gelangen nicht in das HiSuite-Backup.

2) Aus irgendeinem Grund haben die Entwickler des proprietären Sicherungsdienstprogramms die Übertragung von Daten aus einer Reihe von Anwendungen auf Sicherungen, die mit neuen Versionen von HiSuite erstellt wurden, verboten. Wenn Sie maximale Daten von Ihrem Smartphone extrahieren möchten, verwenden Sie daher die älteste Version von HiSuite, deren Veröffentlichungsdatum ungefähr mit dem Veröffentlichungsdatum des Huawei-Smartphones übereinstimmen sollte.

3) Die auf dem Smartphone installierte Version der mobilen App Huawei Suite muss der auf dem Computer des Forschers installierten Version von HiSuite entsprechen.

Quellen
  1. Android Phones Hacked Harder than iPhones According to a Detective
  2. Huawei HiSuite
  3. Belkasoft Evidence Center

  5. Kobackupdec
  6. Huawei backup decryptor
  7. Autopsy

More articles:


All Articles