DETAILS
手機數據獲取之華為手機備份


隨著智能手機的普及,手機廠商也發生了翻天覆地的變化,國內由早期的“中、華、酷、聯”一躍變成了“華、米、O、V”,國外的很多品牌諸如諾基亞,摩托羅拉等被蠶食掉大量的市場份額,有一些甚至破產被收購。

而國產手機品牌中,華為的市場份額占比最高。2020年Q1華為拿下近40%市場份額同時還實現了手機廠商中唯一的正增長。如圖1所示。

1.png

(圖1來源自網絡)

所以今天我們就一起聊聊華為手機的數據獲取。目前華為手機的數據方式:自帶備份(Hisuite備份、手機端備份APP)、助手協議備份、MTP、Android Backup、Fastboot、EDL、物理鏡像(ROOT)、芯片數據獲取等多種方式。圖2所示。

2.png

(圖2)

l  自帶備份:目前主要采用的方式,可獲取到用戶的應用數據如微信、QQ等,以及媒體文件。

l  助手協議備份:操作簡單,軟件自動化完成數據獲取的工作,不需要人為過多的干預。

l  MTP:可獲取到的數據非常有限,不能完全滿足取證需求。

l  Android Backup:可獲取一部分應用數據,但APP初始被設置了不可備份,就會涉及到“降級備份”。隨著安卓版本的升級更新,對于8.0以上的設備進行“降級備份”風險越來越高。

l  Fastboot:目前新型號的設備早已不存在Fatboot漏洞,無法使用此方法獲取到物理鏡像。

l  EDL:華為手機目前主要采用的還是自家的海思麒麟CPU。在此不單說華為。谷歌要求從安卓5.0起要求設備加入FDE(全盤加密)加密,而目前華為手機基本已全部改為了FBE(文件加密),所以即使可以像高通一樣通過9008回讀鏡像,也因加密的原因導致鏡像無法解析。

l  物理鏡像(ROOT):涉及到刷機、Bootloader解鎖。另外目前華為手機基本全部為FBE加密,這也是的ROOT的后的鏡像變得無意義。

l  芯片數數據獲取:由于加密問題,Chip-off物理讀取芯片數據也沒有意義。

 

?  華為手機備份

一般情況下,我們建議使用華為手機助手(Hisuite備份)或者直接使用華為助手協議備份取證的方式獲取數據。但是有些特殊情況,或者現場取證使用華為手機備份外接OTG設備的方法無疑是最好的選擇。可以將數據獲取至OTG設備,之后用分析軟件對數據進行分析處理即可。

華為手機的“備份”APP從2018年左右的版本開始,要求用戶在首次備份的時候強制加密。并且新版本備份APP,桌面不在有單獨的圖標,而是并入了設置菜單,具體位置“設置-系統-備份與恢復”。如圖3所示。

3.png

(圖3)

需要注意的是,在設置密碼的時候,APP有相應的提示告知用戶,此密碼丟失后不可找回,并且在設置密碼的同時,允許用戶輸入密碼提示以備不時之需。如圖4所示。

如果用戶首次備份的時候設置過密碼,那么今后再做備份的時候將不再提示用戶設置密碼,而是默認始終以首次設置的密碼加密備份數據。

4.png

(圖4)

也就意味著如果拿到一部手機在做備份時候,備份APP沒有提示設置備份密碼,因此可以判斷,機主曾經做過手機的數據備份,并且被強制要求設置了密碼。那么此時備份出的數據在沒有密碼的情況下肯定是無法解析的。圖5所示。

5.png

(圖5)

用戶設置的密碼信息存在了數據區里。/data/data/com.huawei.KoBackup(沒有ROOT權限無法獲取)。在配置文件中,可以看到設置的密碼哈希、用戶設置的密碼提示、鹽值等。圖6所示。

6.png

(圖6)

知道了密碼信息原來只是存在了/data/data對應的應用數據里,那么再遇到了有密碼的情況就簡單了。方法如下:

1.  將手機中安裝的備份APP對應的APK文件備份出來。圖7、8所示。

7.png

(圖7)

8.png

(圖8)

2.  卸載備份APP,因為新版本的備份APP桌面已無圖標,所以只能到設置-應用和通知-應用管理-備份/卸載,或者用ADB指令完成。圖9、10所示。

9.png

(圖9)

10.png
                  (圖10)

3.  將備份出的APK從新安裝到手機中。也可在華為應用市場中下載安裝,但設備需要聯網。圖11、12所示。

11.png

(圖11)

12.png

(圖12)

4.  由于卸載的同時,應用對應的所有數據被清空,也就意味著用戶設置的備份密碼也一同被清空。此時再做數據備份的時候就相當于首次備份,所以需要設置備份密碼。

5.  再次利用手機端備份APP備份至外置OTG設備時,就提示從新設置密碼了,此時我們可以設置一個密碼,然后備份數據,在利用手機取證分析軟件做數據分析的時候輸入我們設置的密碼即可進行數據解析。

注意:由于我們對手機的備份APP進行了卸載并從新還原安裝,也就意味著嫌疑人原來自己設置過的備份密碼永久丟失。請謹慎操作。

 

?  華為手機助手(Hisuite)備份

使用Hisuite手機助手對數據進行備份,可獲取到設備內的絕大部分數據,當然,比如分身數據以及一些緩存類的數據有可能獲取不到。

連接前請確認“允許HiSuite通過HDB連接設備”處于打開狀態。(設置-安全和隱私-更多安全設置-允許HiSuite通過HDB連接設備)如圖13。這里的HDB等同于ADB,但兩個調試橋端口不同,ADB是使用的5037端口,而HDB使用的是6827端口。

13.png

(圖13)

14.png

(圖14)

設備正確連接后,即可對設備中的數據進行選擇性備份。有一種情況取證人員可能會遇到,就是手機剩余空間不足導致備份失敗。說明備份過程會占用設備的存儲空間,是因為過程中需要將待備份的數據進行打包,然后傳到電腦中。圖14、15所示。

遇到這種情況,可以嘗試使用手機備份將數據備份至OTG設備或者使用華為助手協議備份取證。是有可能獲取到數據的。

15.png

(圖15)

華為手機助手(HiSuite)在備份數據的時候也需要設置密碼,但這個備份密碼只是對當前本次的備份數據進行加密,第二次再進行備份的時候還是依舊需要設置新的備份密碼。圖16所示。

16.png

(圖16)

 

?  華為助手協議備份取證

華為手機協議備份取證顧名思義,調用的華為手機助手通訊協議,對手機數據進行獲取。此方案最大的好處在于不需要過多的人為干預和人為操作。軟件可實現自動化數據備份過程。降低了軟件的使用難度,更方便調查員操作使用。圖17所示。

17.png(圖17)

選擇好要分析和獲取的內容,等待軟件自動完成數據的獲取。數據獲取階段完成之后即可對數據進行分析。

9999999.jpg


下一篇:關于Checkm8和Checkra1n的所有您想問的問題

上一篇:由ATA密碼淺談西部數據硬盤固件模塊

聯系我們
  •    北京
  • 電話:010-62983123
  • 地址:北京市海淀區信息路15號616
  •    天津
  • 電話:022-23737908
  • 地址:天津市華苑產業區開華道22號普天大廈東塔5層
Copyright ? 2002-2020 Timehost Technology Co.,Ltd 天津天鑒科技有限公司 | 北京天鑒科技有限公司 | 北京天宇宏遠科技有限公司 | 京ICP備05073270號
竞彩足球胜平负玩法