Get best of the week

Análise forense de backups do HiSuite



A recuperação de dados de dispositivos Android está se tornando mais complexa a cada dia - às vezes até mais difícil do que em um iPhone. Igor Mikhailov, especialista no Laboratório de Computação Forense do Grupo-IB, diz o que fazer se você não puder extrair dados do seu smartphone Android usando métodos padrão.

Alguns anos atrás, meus colegas e eu discutimos tendências no desenvolvimento de mecanismos de segurança em dispositivos Android e chegamos à conclusão de que chegará o momento em que a investigação forense se tornará mais difícil do que nos dispositivos iOS. E hoje podemos dizer com confiança que esse momento chegou.

Recentemente, pesquisei o Huawei Honor 20 Pro. O que você acha que conseguiu extrair de sua cópia de backup obtida usando o utilitário ADB? Nada! O dispositivo está cheio de dados: informações sobre chamadas, lista telefônica, SMS, correspondência em mensageiros, e-mail, arquivos multimídia, etc. E você não pode extrair nada disso. Sentimentos horríveis!

Como estar em tal situação? Uma boa saída é usar utilitários de backup proprietários (Mi PC Suite - para smartphones Xiaomi, Samsung Smart Switch para - Samsung, HiSuite para - Huawei).

Neste artigo, consideraremos a criação e extração de dados de smartphones Huawei usando o HiSuite e suas análises subsequentes usando o Belkasoft Evidence Center.

Quais tipos de dados se enquadram nos backups do HiSuite?


Os seguintes tipos de dados se enquadram nos backups do HiSuite:

  • informações de conta e senha (ou tokens)
  • Contatos
  • desafios
  • SMS e MMS
  • O email
  • arquivos multimídia
  • Base de dados
  • documentos
  • arquivos
  • arquivos de aplicativo (arquivos com as extensões .odex , .so , .apk )
  • Informações de aplicativos (como Facebook, Google Drive, Google Fotos, Google Mails, Google Maps, Instagram, WhatsApp, YouTube, etc.)

Analisaremos mais detalhadamente como esse backup é criado e como analisá-lo usando o Belkasoft Evidence Center.

Fazendo backup do seu smartphone Huawei usando o HiSuite


Para criar um backup de um utilitário proprietário, você precisa baixá-lo no site da Huawei e instalá-lo.

Página de download do Huawei HiSuite:


Para emparelhar o dispositivo com o computador, é usado o modo HDB (Huawei Debug Bridge). No site da Huawei ou no próprio programa HiSuite, há instruções detalhadas sobre como ativar o modo HDB em um dispositivo móvel. Após ativar o modo HDB, inicie o aplicativo HiSuite no dispositivo móvel e digite o código exibido neste aplicativo na janela do programa HiSuite em execução no computador.

A janela de entrada de código na versão desktop do HiSuite:


Durante o processo de backup, você precisará digitar uma senha que será usada para proteger os dados recuperados da memória do dispositivo. O backup criado estará localizado no caminho C: / Usuários /% Perfil do usuário% / Documents / HiSuite / backup / .

Smartphone de backup Huawei Honor 20 Pro:


Análise de backup do HiSuite com o Belkasoft Evidence Center


Para analisar o backup recebido usando o Belkasoft Evidence Center, crie um novo caso. Em seguida, selecione Mobile Image como a fonte de dados . No menu que é aberto, especifique o caminho para o diretório em que o backup do smartphone está localizado e selecione o arquivo info.xml .

Especificando o caminho para o backup:


Na próxima janela, o programa solicitará que você selecione os tipos de artefatos que você precisa encontrar. Após iniciar a verificação, vá para a guia Gerenciador de tarefas e clique no botão Configurar tarefa , pois o programa espera digitar uma senha para descriptografar o backup criptografado.

Botão Configurar tarefa :


Após descriptografar o backup, o Belkasoft Evidence Center solicitará que você especifique novamente os tipos de artefatos que deseja extrair. Após a conclusão da análise, informações sobre os artefatos extraídos podem ser visualizadas nas guias Case Explorer e Overview .

Resultados da análise de backup do Huawei Honor 20 Pro:


Análise do backup do HiSuite usando o Oxygen Forensic Suite Expert


Outro programa forense com o qual você pode extrair dados de um backup do HiSuite é o Mobile Forensic Expert .

Para processar os dados armazenados no backup do HiSuite, clique na opção Importar backups na janela principal do programa.

Fragmento da janela principal do programa "Oxygen Forensic Expert":


Ou, no Import seção, selecione o tipo de dados para importação. Huawei backup :


Na janela que é aberta, especifique o caminho para o arquivo info.xml . No início do procedimento de extração, aparecerá uma janela na qual você será solicitado a digitar uma senha conhecida para descriptografar o backup do HiSuite ou use a ferramenta Passware para tentar encontrar essa senha se ela for desconhecida:


O resultado da análise do backup será a janela do programa Oxygen Forensic Suite Expert, que mostra os tipos de artefatos extraídos: chamadas, contatos, mensagens, arquivos, eventos, dados do aplicativo. Preste atenção à quantidade de dados extraídos de vários aplicativos por este programa forense. Ele é simplesmente enorme!

Lista de tipos de dados extraídos do backup do HiSuite no programa Oxygen Forensic Suite Expert:


Descriptografia de backups do HiSuite


O que fazer se você não tiver esses programas maravilhosos? Nesse caso, você será ajudado por um script Python desenvolvido e mantido por Francesco Picasso, funcionário da Reality Net System Solutions. Você pode encontrar este script no GitHub e sua descrição mais detalhada pode ser encontrada no artigo "Decriptor de backup da Huawei".

Além disso, o backup HiSuite descriptografado pode ser importado e analisado usando ferramentas forenses clássicas (por exemplo, Autópsia ) ou manualmente.

achados


Assim, usando o utilitário de backup HiSuite, você pode extrair uma ordem de magnitude de mais dados dos smartphones Huawei do que ao extrair dados dos mesmos dispositivos usando o utilitário ADB. Apesar do grande número de utilitários para trabalhar com telefones celulares, o Belkasoft Evidence Center e o Oxygen Forensic Suite Expert são alguns dos poucos programas forenses que oferecem suporte à extração e análise de backups do HiSuite.

Atualizar


Após testes adicionais, foi estabelecido o seguinte:

1) Os dados do aplicativo Google Chrome não entram no backup do HiSuite.

2) Por alguma razão, os desenvolvedores do utilitário de backup proprietário proibiram a transferência de dados de vários aplicativos para backups criados por novas versões do HiSuite. Portanto, se você deseja extrair o máximo de dados do seu smartphone, use a versão mais antiga do HiSuite, cuja data de lançamento deve coincidir aproximadamente com a data de lançamento do smartphone Huawei.

3) A versão do aplicativo móvel Huawei Suite instalada no smartphone deve corresponder à versão do HiSuite instalada no computador do pesquisador.

Fontes
  1. Android Phones Hacked Harder than iPhones According to a Detective
  2. Huawei HiSuite
  3. Belkasoft Evidence Center

  5. Kobackupdec
  6. Huawei backup decryptor
  7. Autopsy

More articles:


All Articles