Get best of the week

Analyse judiciaire des sauvegardes HiSuite



La rĂ©cupĂ©ration de donnĂ©es Ă  partir d'appareils Android devient chaque jour plus complexe - parfois mĂȘme plus difficile qu'Ă  partir d'un iPhone. Igor Mikhailov, spĂ©cialiste du laboratoire de criminalistique informatique du Groupe IB, explique ce qu'il faut faire si vous ne pouvez pas extraire des donnĂ©es d'un smartphone Android Ă  l'aide de mĂ©thodes standard.

Il y a quelques annĂ©es, mes collĂšgues et moi avons discutĂ© des tendances dans le dĂ©veloppement de mĂ©canismes de sĂ©curitĂ© dans les appareils Android et sommes arrivĂ©s Ă  la conclusion que le moment viendra oĂč leur enquĂȘte mĂ©dico-lĂ©gale deviendra plus difficile que pour les appareils iOS. Et aujourd'hui, nous pouvons dire avec confiance que ce moment est venu.

J'ai récemment fait des recherches sur le Huawei Honor 20 Pro. Que pensez-vous avoir réussi à extraire de sa copie de sauvegarde obtenue à l'aide de l'utilitaire ADB? Rien! L'appareil est plein de données: informations sur les appels, annuaire téléphonique, SMS, correspondance dans les messagers, e-mail, fichiers multimédia, etc. Et vous ne pouvez pas extraire tout cela. Des sentiments horribles!

Comment ĂȘtre dans une telle situation? Une bonne solution consiste Ă  utiliser des utilitaires de sauvegarde propriĂ©taires (Mi PC Suite - pour les smartphones Xiaomi, Samsung Smart Switch pour - Samsung, HiSuite pour - Huawei).

Dans cet article, nous considérerons la création et l'extraction de données à partir de smartphones Huawei à l'aide de HiSuite et leur analyse ultérieure à l'aide de Belkasoft Evidence Center.

Quels types de données tombent dans les sauvegardes HiSuite?


Les types de données suivants font partie des sauvegardes HiSuite:

  • informations de compte et de mot de passe (ou jetons)
  • Contacts
  • dĂ©fis
  • SMS et MMS
  • Email
  • fichiers multimĂ©dias
  • Base de donnĂ©es
  • les documents
  • les archives
  • fichiers d'application (fichiers avec les extensions .odex , .so , .apk )
  • informations provenant d'applications (telles que Facebook, Google Drive, Google Photos, Google Mails, Google Maps, Instagram, WhatsApp, YouTube, etc.)

Nous analyserons plus en détail comment une telle sauvegarde est créée et comment l'analyser à l'aide de Belkasoft Evidence Center.

Sauvegarder votre smartphone Huawei Ă  l'aide de HiSuite


Pour créer une sauvegarde d'un utilitaire propriétaire, vous devez le télécharger à partir du site Web de Huawei et l'installer.

Page de téléchargement de Huawei HiSuite:


Pour coupler l'appareil avec l'ordinateur, le mode HDB (Huawei Debug Bridge) est utilisĂ©. Sur le site Web de Huawei ou dans le programme HiSuite lui-mĂȘme, des instructions dĂ©taillĂ©es expliquent comment activer le mode HDB sur un appareil mobile. AprĂšs avoir activĂ© le mode HDB, lancez l'application HiSuite sur l'appareil mobile et entrez le code affichĂ© dans cette application dans la fenĂȘtre du programme HiSuite en cours d'exĂ©cution sur l'ordinateur.

La fenĂȘtre d'entrĂ©e de code dans la version de bureau de HiSuite:


Pendant le processus de sauvegarde, vous devrez entrer un mot de passe qui sera utilisé pour protéger les données récupérées de la mémoire de l'appareil. La sauvegarde créée sera située sur le chemin C: / Utilisateurs /% Profil utilisateur% / Documents / HiSuite / sauvegarde / .

Smartphone de sauvegarde Huawei Honor 20 Pro:


Analyse de sauvegarde HiSuite avec Belkasoft Evidence Center


Pour analyser la sauvegarde reçue Ă  l'aide de Belkasoft Evidence Center, crĂ©ez un nouveau cas. SĂ©lectionnez ensuite Mobile Image comme source de donnĂ©es . Dans le menu qui s'ouvre, spĂ©cifiez le chemin d'accĂšs au rĂ©pertoire oĂč se trouve la sauvegarde du smartphone et sĂ©lectionnez le fichier info.xml .

Spécification du chemin d'accÚs à la sauvegarde:


Dans la fenĂȘtre suivante, le programme vous demandera de sĂ©lectionner les types d'artefacts que vous devez rechercher. AprĂšs avoir lancĂ© l'analyse, accĂ©dez Ă  l'onglet Gestionnaire des tĂąches et cliquez sur le bouton Configurer la tĂąche , car le programme s'attend Ă  saisir un mot de passe pour dĂ©chiffrer la sauvegarde chiffrĂ©e.

Bouton Configurer la tĂąche :


AprĂšs avoir dĂ©chiffrĂ© la sauvegarde, Belkasoft Evidence Center vous demandera de spĂ©cifier Ă  nouveau les types d'artefacts que vous souhaitez extraire. Une fois l'analyse terminĂ©e, les informations sur les artefacts extraits peuvent ĂȘtre consultĂ©es dans les onglets Explorateur de cas et PrĂ©sentation .

RĂ©sultats de l'analyse de sauvegarde du Huawei Honor 20 Pro:


Analyse de la sauvegarde HiSuite Ă  l'aide d'Oxygen Forensic Suite Expert


Un autre programme médico-légal avec lequel vous pouvez extraire des données d'une sauvegarde HiSuite est Mobile Forensic Expert .

Pour traiter les donnĂ©es stockĂ©es dans la sauvegarde HiSuite, cliquez sur l'option Importer les sauvegardes dans la fenĂȘtre principale du programme.

Fragment de la fenĂȘtre principale du programme "Oxygen Forensic Expert":


Ou, dans la section Importer , sélectionnez le type de données à importer. Huawei Backup :


Dans la fenĂȘtre qui s'ouvre, spĂ©cifiez le chemin d'accĂšs au fichier info.xml . Lorsque la procĂ©dure d'extraction dĂ©marre, une fenĂȘtre apparaĂźt dans laquelle vous serez invitĂ© Ă  entrer un mot de passe connu pour dĂ©chiffrer la sauvegarde HiSuite ou Ă  utiliser l'outil Passware pour essayer de trouver ce mot de passe s'il est inconnu:


Le rĂ©sultat de l'analyse de la sauvegarde sera la fenĂȘtre du programme Oxygen Forensic Suite Expert, qui montre les types d'artefacts extraits: appels, contacts, messages, fichiers, Ă©vĂ©nements, donnĂ©es d'application. Faites attention Ă  la quantitĂ© de donnĂ©es extraites de diverses applications par ce programme mĂ©dico-lĂ©gal. Il est juste Ă©norme!

Liste des types de données extraits de la sauvegarde HiSuite dans le programme Oxygen Forensic Suite Expert:


DĂ©cryptage des sauvegardes HiSuite


Que faire si vous n'avez pas ces merveilleux programmes? Dans ce cas, vous serez aidé par un script Python développé et maintenu par Francesco Picasso, un employé de Reality Net System Solutions. Vous pouvez trouver ce script sur GitHub , et sa description plus détaillée se trouve dans l' article «Décrypteur de sauvegarde Huawei».

De plus, la sauvegarde HiSuite dĂ©chiffrĂ©e peut ĂȘtre importĂ©e et analysĂ©e Ă  l'aide des utilitaires mĂ©dico-lĂ©gaux classiques (par exemple, Autopsy ) ou manuellement.

résultats


Ainsi, en utilisant l'utilitaire de sauvegarde HiSuite, vous pouvez extraire un ordre de grandeur de plus de donnĂ©es des smartphones Huawei que lors de l'extraction de donnĂ©es des mĂȘmes appareils Ă  l'aide de l'utilitaire ADB. MalgrĂ© le grand nombre d'utilitaires pour travailler avec les tĂ©lĂ©phones mobiles, Belkasoft Evidence Center et Oxygen Forensic Suite Expert sont quelques-uns des rares programmes mĂ©dico-lĂ©gaux qui prennent en charge l'extraction et l'analyse des sauvegardes HiSuite.

Mise Ă  jour


AprÚs des tests supplémentaires, les éléments suivants ont été établis:

1) Les données de l'application Google Chrome n'entrent pas dans la sauvegarde HiSuite.

2) Pour une raison quelconque, les développeurs de l'utilitaire de sauvegarde propriétaire ont interdit le transfert de données d'un certain nombre d'applications vers des sauvegardes créées par de nouvelles versions de HiSuite. Par conséquent, si vous souhaitez extraire le maximum de données de votre smartphone, utilisez la version la plus ancienne de HiSuite, dont la date de sortie devrait approximativement coïncider avec la date de sortie du smartphone Huawei.

3) La version de l'application mobile Huawei Suite installée sur le smartphone doit correspondre à la version de HiSuite installée sur l'ordinateur du chercheur.

Sources
  1. Android Phones Hacked Harder than iPhones According to a Detective
  2. Huawei HiSuite
  3. Belkasoft Evidence Center

  5. Kobackupdec
  6. Huawei backup decryptor
  7. Autopsy

More articles:


All Articles