Get best of the week

HiSuite备份的取证分析



每天从Android设备中检索数据变得越来越复杂-有时甚至比从iPhone中获取数据更加困难IB计算机鉴识实验室的专家Igor Mikhailov告诉您,如果无法使用标准方法从Android智能手机中提取数据该怎么办。

几年前,我和我的同事讨论了Android设备中安全机制发展的趋势,得出的结论是,法医调查的时机将比iOS设备更加困难。今天,我们可以充满信心地说,这个时候到了。

我最近研究了Huawei Honor 20 Pro。您认为如何从使用ADB实用程序获得的备份副本中提取了什么?没有!该设备充满了数据:有关呼叫,电话簿,SMS,信使中的通信,电子邮件,多媒体文件等的信息。而且您无法提取任何内容。糟糕的感觉!

在这种情况下怎么办?一个好的出路是使用专有的备份实用程序(Mi PC Suite-适用于小米智能手机,Samsung Smart Switch适用于-Samsung,HiSuite适用于-华为)。

在本文中,我们将考虑使用HiSuite从华为智能手机创建和提取数据,以及使用Belkasoft证据中心进行后续分析。

什么样的数据属于HiSuite备份?


以下数据类型属于HiSuite备份:

  • 帐户和密码信息(或令牌)
  • 联络人
  • 挑战
  • 短信和彩信
  • 电子邮件
  • 多媒体文件
  • 数据库
  • 单据
  • 档案
  • 应用程序文件(扩展名为.odex.so.apk的文件
  • 来自应用程序(例如Facebook,Google Drive,Google Photos,Google Mails,Google Maps,Instagram,WhatsApp,YouTube等)的信息

我们将更详细地分析如何创建此类备份以及如何使用Belkasoft证据中心进行分析。

使用HiSuite备份华为智能手机


要创建专有工具的备份,需要从华为网站下载并安装。

华为HiSuite下载页面:


要将设备与计算机配对,请使用HDB模式(华为调试桥)。在华为网站或HiSuite程序本身中,有关于如何在移动设备上激活HDB模式的详细说明。激活HDB模式后,在移动设备上启动HiSuite应用程序,然后在计算机上运行的HiSuite程序窗口中输入此应用程序中显示的代码。

桌面版HiSuite中的代码输入窗口:


在备份过程中,您需要输入密码,该密码将用于保护从设备内存中检索到的数据。创建的备份将位于路径C:/用户/%用户配置文件%/ Documents / HiSuite / backup /中

备份智能手机Huawei Honor 20 Pro:


使用Belkasoft证据中心进行HiSuite备份分析


要使用Belkasoft证据中心分析收到的备份,请创建一个新案例。然后选择“ 移动图像”作为数据源在打开的菜单中,指定智能手机备份所在目录的路径,然后选择info.xml文件

指定备份路径:


在下一个窗口中,程序将提示您选择需要查找的工件类型。开始扫描后,请转到“ 任务管理器”选项卡,然后单击“ 配置任务”按钮,因为程序希望输入密码来解密加密的备份。配置任务

按钮


解密备份后,Belkasoft证据中心将要求您重新指定要提取的工件的类型。分析完成后,可以在“ 案例浏览器”和“ 概述”选项卡中查看有关提取的工件的信息

华为荣耀20 Pro备份分析结果:


使用氧气鉴证套件专家分析HiSuite备份


可以从HiSuite备份中提取数据的另一个取证程序是Mobile Forensic Expert

要处理HiSuite备份中存储的数据,请在主程序窗口中单击“ 导入备份”选项

程序“氧气法医专家”的主窗口片段:


或者,在进口部分中,选择要导入的数据类型。华为备份


在打开的窗口中,指定info.xml文件的路径在提取过程开始时,将出现一个窗口,提示您输入一个已知密码来解密HiSuite备份,或者使用Passware工具尝试查找该密码(如果未知):


备份分析的结果将在Oxygen Forensic Suite Expert程序的窗口中,该窗口显示提取的工件的类型:呼叫,联系人,消息,文件,事件,应用程序数据。注意此取证程序从各种应用程序中提取的数据量。他真大!

Oxygen Forensic Suite Expert程序从HiSuite备份中提取的数据类型列表:


解密HiSuite备份


如果您没有这些精彩的程序怎么办?在这种情况下,Reality Net System Solutions员工Francesco Picasso开发和维护的Python脚本将为您提供帮助。您可以在GitHub上找到此脚本,其详细说明可以文章 “华为备份解密器”中找到。

此外,可以使用经典的取证工具(例如Autopsy)或手动导入和分析解密的HiSuite备份

发现


因此,与使用ADB实用程序从同一设备提取数据相比,使用HiSuite备份实用程序可以从华为智能手机提取更多数量级的数据。尽管有大量可用于移动电话的实用程序,但Belkasoft证据中心和Oxygen法医套件专家是少数支持HiSuite备份提取和分析的法医程序中的一些。

更新资料


经过其他测试后,建立了以下内容:

1)Google Chrome应用程序的数据未进入HiSuite备份。

2)由于某种原因,专有备份实用程序的开发人员禁止将数据从许多应用程序传输到由新版本的HiSuite创建的备份。因此,如果要从智能手机中提取最大数据,请使用最早的HiSuite版本,其发布日期应与华为智能手机的发布日期大致一致。

3)安装在智能手机上的移动应用Huawei Suite的版本必须与研究人员的计算机上安装的HiSuite的版本相对应。

资料来源
  1. Android Phones Hacked Harder than iPhones According to a Detective
  2. Huawei HiSuite
  3. Belkasoft Evidence Center

  5. Kobackupdec
  6. Huawei backup decryptor
  7. Autopsy

More articles:


All Articles