Get best of the week

Análisis forense de copias de seguridad HiSuite



La recuperación de datos de dispositivos Android se está volviendo más compleja cada día, a veces incluso más difícil que desde un iPhone. Igor Mikhailov, especialista en el Laboratorio de Informática Forense Group-IB, le dice qué hacer si no puede extraer datos de su teléfono inteligente Android utilizando métodos estándar.

Hace unos años, mis colegas y yo discutimos las tendencias en el desarrollo de mecanismos de seguridad en dispositivos Android y llegamos a la conclusión de que llegará el momento en que su investigación forense será más difícil que para los dispositivos iOS. Y hoy podemos decir con confianza que ha llegado este momento.

Recientemente investigué el Huawei Honor 20 Pro. ¿Qué crees que lograste extraer de su copia de respaldo obtenida usando la utilidad ADB? ¡Nada! El dispositivo está lleno de datos: información sobre llamadas, directorio telefónico, SMS, correspondencia en mensajeros, correo electrónico, archivos multimedia, etc. Y no puedes extraer nada de esto. Sentimientos terribles!

¿Cómo estar en tal situación? Una buena salida es utilizar utilidades de respaldo patentadas (Mi PC Suite - para teléfonos inteligentes Xiaomi, Samsung Smart Switch para - Samsung, HiSuite para - Huawei).

En este artículo, consideraremos la creación y extracción de datos de teléfonos inteligentes Huawei con HiSuite y su posterior análisis con Belkasoft Evidence Center.

¿Qué tipos de datos se incluyen en las copias de seguridad de HiSuite?


Los siguientes tipos de datos se incluyen en las copias de seguridad de HiSuite:

  • información de cuenta y contraseña (o tokens)
  • contactos
  • desafíos
  • SMS y MMS
  • Correo electrónico
  • archivos multimedia
  • Base de datos
  • documentos
  • archivo
  • archivos de aplicaciones (archivos con las extensiones .odex , .so , APK )
  • información de aplicaciones (como Facebook, Google Drive, Google Photos, Google Mails, Google Maps, Instagram, WhatsApp, YouTube, etc.)

Analizaremos con más detalle cómo se crea dicha copia de seguridad y cómo analizarla usando el Centro de Evidencia de Belkasoft.

Copia de seguridad de su teléfono inteligente Huawei con HiSuite


Para crear una copia de seguridad de una utilidad patentada, debe descargarla del sitio web de Huawei e instalarla.

Página de descarga de Huawei HiSuite:


Para emparejar el dispositivo con la computadora, se utiliza el modo HDB (Huawei Debug Bridge). En el sitio web de Huawei o en el programa HiSuite, hay instrucciones detalladas sobre cómo activar el modo HDB en un dispositivo móvil. Después de activar el modo HDB, inicie la aplicación HiSuite en el dispositivo móvil e ingrese el código que se muestra en esta aplicación en la ventana del programa HiSuite que se ejecuta en la computadora.

La ventana de entrada de código en la versión de escritorio de HiSuite:


Durante el proceso de copia de seguridad, deberá ingresar una contraseña que se utilizará para proteger los datos recuperados de la memoria del dispositivo. La copia de seguridad creada se ubicará en la ruta C: / Usuarios /% Perfil de usuario% / Documentos / HiSuite / copia de seguridad / .

Teléfono inteligente de respaldo Huawei Honor 20 Pro:


Análisis de respaldo HiSuite con Belkasoft Evidence Center


Para analizar la copia de seguridad recibida utilizando Belkasoft Evidence Center, cree un nuevo caso. Luego, seleccione Imagen móvil como fuente de datos . En el menú que se abre, especifique la ruta al directorio donde se encuentra la copia de seguridad del teléfono inteligente y seleccione el archivo info.xml .

Especificando la ruta a la copia de seguridad:


En la siguiente ventana, el programa le pedirá que seleccione los tipos de artefactos que necesita encontrar. Después de comenzar la exploración, vaya a la pestaña Administrador de tareas y haga clic en el botón Configurar tarea , ya que el programa espera ingresar una contraseña para descifrar la copia de seguridad cifrada. Configurar el

botón de tarea :


Después de descifrar la copia de seguridad, Belkasoft Evidence Center le pedirá que vuelva a especificar los tipos de artefactos que desea extraer. Una vez que se completa el análisis, la información sobre los artefactos extraídos se puede ver en las pestañas Explorador de casos y Resumen .

Resultados del análisis de copia de seguridad de Huawei Honor 20 Pro:


Análisis de la copia de seguridad de HiSuite con Oxygen Forensic Suite Expert


Otro programa forense con el que puede extraer datos de una copia de seguridad HiSuite es Mobile Forensic Expert .

Para procesar los datos almacenados en la copia de seguridad de HiSuite, haga clic en la opción Importar copias de seguridad en la ventana principal del programa.

Fragmento de la ventana principal del programa "Oxygen Forensic Expert":


O, en la importación sección, seleccione el tipo de datos a importar. Huawei copia de seguridad :


En la ventana que se abre, especifique la ruta al archivo info.xml . Cuando comience el procedimiento de extracción, aparecerá una ventana en la que se le pedirá que ingrese una contraseña conocida para descifrar la copia de seguridad de HiSuite o use la herramienta Passware para intentar encontrar esta contraseña si es desconocida:


El resultado del análisis de la copia de seguridad será la ventana del programa Oxygen Forensic Suite Expert, que muestra los tipos de artefactos extraídos: llamadas, contactos, mensajes, archivos, eventos, datos de la aplicación. Preste atención a la cantidad de datos extraídos de varias aplicaciones por este programa forense. ¡Él es simplemente enorme!

Lista de tipos de datos extraídos de la copia de seguridad HiSuite en el programa Oxygen Forensic Suite Expert:


Descifrado de copias de seguridad HiSuite


¿Qué hacer si no tienes estos maravillosos programas? En este caso, será ayudado por un script Python desarrollado y mantenido por Francesco Picasso, un empleado de Reality Net System Solutions. Puede encontrar este script en GitHub , y su descripción más detallada se puede encontrar en el artículo "Descifrador de respaldo de Huawei".

Además, la copia de seguridad descifrada de HiSuite se puede importar y analizar utilizando herramientas forenses clásicas (por ejemplo, autopsia ) o manualmente.

recomendaciones


Por lo tanto, con la utilidad de respaldo HiSuite, puede extraer un orden de magnitud más datos de los teléfonos inteligentes Huawei que cuando extrae datos de los mismos dispositivos utilizando la utilidad ADB. A pesar de la gran cantidad de utilidades para trabajar con teléfonos móviles, Belkasoft Evidence Center y Oxygen Forensic Suite Expert son algunos de los pocos programas forenses que admiten la extracción y el análisis de las copias de seguridad de HiSuite.

Actualizar


Después de pruebas adicionales, se estableció lo siguiente:

1) Los datos de la aplicación Google Chrome no entran en la copia de seguridad de HiSuite.

2) Por alguna razón, los desarrolladores de la utilidad de copia de seguridad patentada han prohibido la transferencia de datos de una serie de aplicaciones a copias de seguridad creadas por nuevas versiones de HiSuite. Por lo tanto, si desea extraer los datos máximos de su teléfono inteligente, use la versión más antigua de HiSuite, cuya fecha de lanzamiento debe coincidir aproximadamente con la fecha de lanzamiento del teléfono inteligente Huawei.

3) La versión de la aplicación móvil Huawei Suite instalada en el teléfono inteligente debe corresponder a la versión de HiSuite instalada en la computadora del investigador.

Fuentes
  1. Android Phones Hacked Harder than iPhones According to a Detective
  2. Huawei HiSuite
  3. Belkasoft Evidence Center

  5. Kobackupdec
  6. Huawei backup decryptor
  7. Autopsy

More articles:


All Articles