DETAILS
手机数据获取之华为手机备份


随着智能手机的普及,手机厂商也发生了翻天覆地的变化,国内由早期的“中、华、酷、联”一跃变成了“华、米、O、V”,国外的很多品牌诸如诺基亚,摩托罗拉等被蚕食掉大量的市场份额,有一些甚至破产被收购。

而国产手机品牌中,华为的市场份额占比最高。2020年Q1华为拿下近40%市场份额同时还实现了手机厂商中唯一的正增长。如图1所示。

1.png

(图1来源自网络)

所以今天我们就一起聊聊华为手机的数据获取。目前华为手机的数据方式:自带备份(Hisuite备份、手机端备份APP)、助手协议备份、MTP、Android Backup、Fastboot、EDL、物理镜像(ROOT)、芯片数据获取等多种方式。图2所示。

2.png

(图2)

l  自带备份:目前主要采用的方式,可获取到用户的应用数据如微信、QQ等,以及媒体文件。

l  助手协议备份:操作简单,软件自动化完成数据获取的工作,不需要人为过多的干预。

l  MTP:可获取到的数据非常有限,不能完全满足取证需求。

l  Android Backup:可获取一部分应用数据,但APP初始被设置了不可备份,就会涉及到“降级备份”。随着安卓版本的升级更新,对于8.0以上的设备进行“降级备份”风险越来越高。

l  Fastboot:目前新型号的设备早已不存在Fatboot漏洞,无法使用此方法获取到物理镜像。

l  EDL:华为手机目前主要采用的还是自家的海思麒麟CPU。在此不单说华为。谷歌要求从安卓5.0起要求设备加入FDE(全盘加密)加密,而目前华为手机基本已全部改为了FBE(文件加密),所以即使可以像高通一样通过9008回读镜像,也因加密的原因导致镜像无法解析。

l  物理镜像(ROOT):涉及到刷机、Bootloader解锁。另外目前华为手机基本全部为FBE加密,这也是的ROOT的后的镜像变得无意义。

l  芯片数数据获取:由于加密问题,Chip-off物理读取芯片数据也没有意义。

 

Ø  华为手机备份

一般情况下,我们建议使用华为手机助手(Hisuite备份)或者直接使用华为助手协议备份取证的方式获取数据。但是有些特殊情况,或者现场取证使用华为手机备份外接OTG设备的方法无疑是最好的选择。可以将数据获取至OTG设备,之后用分析软件对数据进行分析处理即可。

华为手机的“备份”APP从2018年左右的版本开始,要求用户在首次备份的时候强制加密。并且新版本备份APP,桌面不在有单独的图标,而是并入了设置菜单,具体位置“设置-系统-备份与恢复”。如图3所示。

3.png

(图3)

需要注意的是,在设置密码的时候,APP有相应的提示告知用户,此密码丢失后不可找回,并且在设置密码的同时,允许用户输入密码提示以备不时之需。如图4所示。

如果用户首次备份的时候设置过密码,那么今后再做备份的时候将不再提示用户设置密码,而是默认始终以首次设置的密码加密备份数据。

4.png

(图4)

也就意味着如果拿到一部手机在做备份时候,备份APP没有提示设置备份密码,因此可以判断,机主曾经做过手机的数据备份,并且被强制要求设置了密码。那么此时备份出的数据在没有密码的情况下肯定是无法解析的。图5所示。

5.png

(图5)

用户设置的密码信息存在了数据区里。/data/data/com.huawei.KoBackup(没有ROOT权限无法获取)。在配置文件中,可以看到设置的密码哈希、用户设置的密码提示、盐值等。图6所示。

6.png

(图6)

知道了密码信息原来只是存在了/data/data对应的应用数据里,那么再遇到了有密码的情况就简单了。方法如下:

1.  将手机中安装的备份APP对应的APK文件备份出来。图7、8所示。

7.png

(图7)

8.png

(图8)

2.  卸载备份APP,因为新版本的备份APP桌面已无图标,所以只能到设置-应用和通知-应用管理-备份/卸载,或者用ADB指令完成。图9、10所示。

9.png

(图9)

10.png
                  (图10)

3.  将备份出的APK从新安装到手机中。也可在华为应用市场中下载安装,但设备需要联网。图11、12所示。

11.png

(图11)

12.png

(图12)

4.  由于卸载的同时,应用对应的所有数据被清空,也就意味着用户设置的备份密码也一同被清空。此时再做数据备份的时候就相当于首次备份,所以需要设置备份密码。

5.  再次利用手机端备份APP备份至外置OTG设备时,就提示从新设置密码了,此时我们可以设置一个密码,然后备份数据,在利用手机取证分析软件做数据分析的时候输入我们设置的密码即可进行数据解析。

注意:由于我们对手机的备份APP进行了卸载并从新还原安装,也就意味着嫌疑人原来自己设置过的备份密码永久丢失。请谨慎操作。

 

Ø  华为手机助手(Hisuite)备份

使用Hisuite手机助手对数据进行备份,可获取到设备内的绝大部分数据,当然,比如分身数据以及一些缓存类的数据有可能获取不到。

连接前请确认“允许HiSuite通过HDB连接设备”处于打开状态。(设置-安全和隐私-更多安全设置-允许HiSuite通过HDB连接设备)如图13。这里的HDB等同于ADB,但两个调试桥端口不同,ADB是使用的5037端口,而HDB使用的是6827端口。

13.png

(图13)

14.png

(图14)

设备正确连接后,即可对设备中的数据进行选择性备份。有一种情况取证人员可能会遇到,就是手机剩余空间不足导致备份失败。说明备份过程会占用设备的存储空间,是因为过程中需要将待备份的数据进行打包,然后传到电脑中。图14、15所示。

遇到这种情况,可以尝试使用手机备份将数据备份至OTG设备或者使用华为助手协议备份取证。是有可能获取到数据的。

15.png

(图15)

华为手机助手(HiSuite)在备份数据的时候也需要设置密码,但这个备份密码只是对当前本次的备份数据进行加密,第二次再进行备份的时候还是依旧需要设置新的备份密码。图16所示。

16.png

(图16)

 

Ø  华为助手协议备份取证

华为手机协议备份取证顾名思义,调用的华为手机助手通讯协议,对手机数据进行获取。此方案最大的好处在于不需要过多的人为干预和人为操作。软件可实现自动化数据备份过程。降低了软件的使用难度,更方便调查员操作使用。图17所示。

17.png(图17)

选择好要分析和获取的内容,等待软件自动完成数据的获取。数据获取阶段完成之后即可对数据进行分析。

9999999.jpg


下一篇:关于Checkm8和Checkra1n的所有您想问的问题

上一篇:由ATA密码浅谈西部数据硬盘固件模块

联系我们
  •    北京
  • 电话:010-62983123
  • 地址:北京市海淀区信息路15号616
  •    天津
  • 电话:022-23737908
  • 地址:天津市华苑产业区开华道22号普天大厦东塔5层
Copyright © 2002-2020 Timehost Technology Co.,Ltd 北京天鉴科技有限公司 | 北京天宇宏远科技有限公司 京ICP备05073270号