Get best of the week

Analisis forensik cadangan HiSuite



Mengambil data dari perangkat Android menjadi lebih kompleks setiap hari - terkadang bahkan lebih sulit daripada dari iPhone. Igor Mikhailov, seorang spesialis di Laboratorium Computer Forensics Group-IB, memberi tahu apa yang harus dilakukan jika Anda tidak dapat mengekstraksi data dari ponsel cerdas Android Anda menggunakan metode standar.

Beberapa tahun yang lalu, rekan saya dan saya membahas tren dalam pengembangan mekanisme keamanan di perangkat Android dan sampai pada kesimpulan bahwa akan tiba saatnya ketika penyelidikan forensik mereka akan menjadi lebih sulit daripada untuk perangkat iOS. Dan hari ini kita dapat mengatakan dengan keyakinan bahwa saat ini telah tiba.

Saya baru-baru ini meneliti Huawei Honor 20 Pro. Menurut Anda, apa yang berhasil Anda ekstrak dari salinan cadangannya yang diperoleh menggunakan utilitas ADB? Tidak ada! Perangkat ini penuh dengan data: informasi tentang panggilan, buku telepon, SMS, korespondensi dalam pesan, e-mail, file multimedia, dll. Dan Anda tidak dapat mengekstrak semua ini. Perasaan mengerikan!

Bagaimana bisa berada dalam situasi seperti itu? Jalan keluar yang baik adalah dengan menggunakan utilitas cadangan milik (Mi PC Suite - untuk smartphone Xiaomi, Samsung Smart Switch untuk - Samsung, HiSuite for - Huawei).

Dalam artikel ini, kami akan mempertimbangkan pembuatan dan ekstraksi data dari telepon pintar Huawei menggunakan HiSuite dan analisis selanjutnya menggunakan Belkasoft Evidence Center.

Jenis data apa yang termasuk dalam cadangan HiSuite?


Tipe data berikut termasuk dalam cadangan HiSuite:

  • informasi akun dan kata sandi (atau token)
  • kontak
  • tantangan
  • SMS dan MMS
  • Surel
  • file multimedia
  • Basis data
  • dokumen
  • arsip
  • file aplikasi (file dengan ekstensi .odex , .so , .apk )
  • informasi dari aplikasi (seperti Facebook, Google Drive, Foto Google, Google Mails, Google Maps, Instagram, WhatsApp, YouTube, dll.)

Kami akan menganalisis secara lebih terperinci bagaimana cadangan semacam itu dibuat dan bagaimana menganalisisnya menggunakan Belkasoft Evidence Center.

Mencadangkan ponsel cerdas Huawei Anda menggunakan HiSuite


Untuk membuat cadangan utilitas milik, Anda perlu mengunduhnya dari situs web Huawei dan menginstalnya.

Halaman unduhan Huawei HiSuite:


Untuk memasangkan perangkat dengan komputer, mode HDB (Huawei Debug Bridge) digunakan. Di situs web Huawei atau dalam program HiSuite sendiri, ada instruksi terperinci tentang cara mengaktifkan mode HDB pada perangkat seluler. Setelah mengaktifkan mode HDB, luncurkan aplikasi HiSuite pada perangkat seluler dan masukkan kode yang ditampilkan dalam aplikasi ini ke dalam jendela program HiSuite yang berjalan di komputer.

Jendela entri kode di versi desktop HiSuite:


Selama proses pencadangan, Anda harus memasukkan kata sandi yang akan digunakan untuk melindungi data yang diambil dari memori perangkat. Cadangan yang dibuat akan berlokasi di jalur C: / Pengguna /% Profil pengguna% / Dokumen / HiSuite / cadangan / .

Cadangan Smartphone Huawei Honor 20 Pro:


Analisis Cadangan HiSuite dengan Belkasoft Evidence Center


Untuk menganalisis cadangan yang diterima menggunakan Belkasoft Evidence Center, buat kasus baru. Kemudian pilih Gambar Seluler sebagai sumber data . Di menu yang terbuka, tentukan jalur ke direktori tempat cadangan ponsel cerdas berada, dan pilih file info.xml .

Menentukan jalur ke cadangan:


Di jendela berikutnya, program akan meminta Anda untuk memilih jenis artefak yang perlu Anda temukan. Setelah memulai pemindaian, buka tab Task Manager dan klik tombol Configure task , karena program berharap untuk memasukkan kata sandi untuk mendekripsi cadangan yang dienkripsi. Konfigurasikan

tombol tugas :


Setelah mendekripsi cadangan, Belkasoft Evidence Center akan meminta Anda untuk menentukan kembali jenis artefak yang ingin Anda ekstrak. Setelah analisis selesai, informasi tentang artefak yang diekstraksi dapat dilihat di tab Case Explorer dan Ikhtisar .

Hasil Analisis Cadangan Huawei Honor 20 Pro:


Analisis cadangan HiSuite menggunakan Oxygen Forensic Suite Expert


Program forensik lain yang dapat digunakan untuk mengekstrak data dari cadangan HiSuite adalah Mobile Forensic Expert .

Untuk memproses data yang disimpan dalam cadangan HiSuite, klik opsi Impor cadangan di jendela program utama.

Fragmen dari jendela utama program "Pakar Forensik Oksigen":


Atau, di bagian Impor , pilih jenis data yang akan diimpor. Huawei Backup :


Di jendela yang terbuka, tentukan path ke file info.xml . Ketika prosedur ekstraksi dimulai, sebuah jendela akan muncul di mana Anda akan diminta memasukkan kata sandi yang dikenal untuk mendekripsi cadangan HiSuite, atau menggunakan alat Passware untuk mencoba menemukan kata sandi ini jika tidak diketahui:


Hasil analisis cadangan akan menjadi jendela program Oxygen Forensic Suite Expert, yang menunjukkan jenis artefak yang diekstraksi: panggilan, kontak, pesan, file, acara, data aplikasi. Perhatikan jumlah data yang diekstraksi dari berbagai aplikasi oleh program forensik ini. Dia besar sekali!

Daftar tipe data yang diekstraksi dari cadangan HiSuite dalam program Oxygen Forensic Suite Expert:


Dekripsi cadangan HiSuite


Apa yang harus dilakukan jika Anda tidak memiliki program yang luar biasa ini? Dalam hal ini, Anda akan dibantu oleh skrip Python yang dikembangkan dan dikelola oleh Francesco Picasso, seorang karyawan Solusi Sistem Net Realitas. Anda dapat menemukan skrip ini di GitHub , dan deskripsi yang lebih terperinci dapat ditemukan di artikel "Huawei backup decryptor".

Selanjutnya, cadangan HiSuite yang didekripsi dapat diimpor dan dianalisis menggunakan alat forensik klasik (misalnya, Otopsi ) atau secara manual.

temuan


Dengan demikian, menggunakan utilitas cadangan HiSuite, Anda dapat mengekstraksi urutan data lebih besar dari smartphone Huawei daripada saat mengekstraksi data dari perangkat yang sama menggunakan utilitas ADB. Meskipun sejumlah besar utilitas untuk bekerja dengan ponsel, Belkasoft Evidence Center dan Oxygen Forensic Suite Expert adalah beberapa dari beberapa program forensik yang mendukung ekstraksi dan analisis cadangan HiSuite.

Memperbarui


Setelah tes tambahan, berikut ini ditetapkan:

1) Data aplikasi Google Chrome tidak masuk ke cadangan HiSuite.

2) Untuk beberapa alasan, pengembang utilitas cadangan miliknya telah melarang transfer data dari sejumlah aplikasi ke cadangan yang dibuat oleh versi baru HiSuite. Karena itu, jika Anda ingin mengekstraksi data maksimum dari ponsel cerdas Anda, gunakan versi HiSuite tertua, yang tanggal rilisnya kira-kira harus bersamaan dengan tanggal rilis ponsel cerdas Huawei.

3) Versi aplikasi seluler Huawei Suite yang diinstal pada smartphone harus sesuai dengan versi HiSuite yang diinstal pada komputer peneliti.

Sumber
  1. Android Phones Hacked Harder than iPhones According to a Detective
  2. Huawei HiSuite
  3. Belkasoft Evidence Center

  5. Kobackupdec
  6. Huawei backup decryptor
  7. Autopsy

More articles:


All Articles