Методы извлечения данных из устройств на ОС Android

Содержание

  1. Подготовка к подключению устройства
  2. Подключение устройства по кабелю
  3. Методы извлечения данных
  4. Импорт резервных копий и физических дампов
  5. Извлечение данных из облака

 

1. Подготовка к подключению устройства

Оборудование и программное обеспечение для подключения

  • Оригинальный USB кабель.
  • Мобильный Криминалист, установленный на ПК.
  • Драйверы кабеля от производителя. Вы можете установить драйверы с сайта производителя или скачать наш набор драйверов из личного кабинета пользователя.
  • Карта памяти (используется для временного хранения данных во время их извлечения).

Как проверить, что драйверы установлены правильно

После установки драйверов необходимо проверить,  установлены ли они корректно. Подсоедините кабель к мобильному устройству и зайдите в меню Пуск/Панель управления/Система/Диспетчер устройств на ПК.  Там Вы должны увидеть название подключенного устройства с записью ADB Interface:

pic002.png 

Если такой строки нет, значит, драйверы установлены неправильно.

Какие настройки выбрать в мобильном устройстве

  • Вам необходимо активировать режим ‘Отладка USB’. Этот режим включает сервер ADB в устройстве:

    pic003.png 

    ‘Отладка USB ’ активируется следующими способами:

     Для ОС Android 2.0-2.3.x:

    -перейдите в меню устройства;

    -выберите ‘Настройки’;

    -в разделе ‘Настройках’ выберите пункт ‘Приложения’;

    -в разделе ‘Приложения’ выберите пункт ‘Разработка’;

    -в  разделе ‘Разработка’ выберите пункт ‘Отладка USB’.

     

    Для ОС Android 3.0- 4.1.x:

    -перейдите в меню устройства;

    -выберите ‘Настройки’;

    -в разделе ‘Настройках’ выберите пункт ‘Приложения’;

    -в разделе ‘Приложения’ выберите пункт ‘Разработка’;

    -в  разделе ‘Разработка’ выберите пункт ‘Отладка USB’;

    -подтвердите активацию опции ‘Отладка USB’.

     

     Для ОС Android 4.2.x и старше:

    -перейдите в меню устройства;

    -выберите ‘Настройки’;

    -в разделе ‘Настройки’ выберите пункт ‘Об устройстве’;

    -в разделе ‘Об устройстве’ кликните семь раз по пункту ‘Номер сборки’. После этого на экране появится сообщение: ‘Вы стали разработчиком’;

    -нажимая значок ‘Назад’, вернитесь в разделе ‘Настройки’;

    - выберите пункт ‘Разработка’;

    -в разделе ‘Разработка’ выберите пункт ‘Отладка USB’.

     

    Для ОС Android 5.0 и старше:

    -перейдите в меню устройства;

    -выберите ‘Настройки’;

    -в разделе ‘Настройки’ выберите пункт ‘Об устройстве’;

    -в разделе ‘Об устройстве’ кликните семь раз по пункту ‘Номер сборки’. После этого на экране появится сообщение: ‘Вы стали разработчиком’;

    -нажимая значок ‘Назад’, вернитесь в разделе ‘Настройки’;

    - выберите пункт ‘Разработка’;

    -в разделе ‘Разработка’ выберите пункт ‘Отладка USB’;

    -подтвердите активацию опции ‘Отладка USB’.

     

  • Необходимо также правильно выбрать USB режим в устройстве: ‘None’, ‘Charge only’, ‘MTP’, ‘PTP’  и т.д. Каждый производитель по-своему называет данный режим. Ни в коем случае нельзя подключать устройство в режиме съемного накопителя.
  • Для успешного подключения нужно убедиться в наличии карты памяти в устройстве. На ней должно быть свободно, по крайней мере, около 1МБ. Во время логического извлечения данных приложение OxyAgent использует карту памяти для хранения временных файлов, которые удаляются после завершения чтения.

Файлы, которые до подключения хранились на карте памяти, не изменяются и не удаляются. Тем не менее, мы рекомендуем использовать свою карту памяти для извлечения данных в программе «Мобильный Криминалист». 

 

2. Подключение устройства по кабелю

Запустите «Мобильный Криминалист» и нажмите «Подключить устройство»

на панели инструментов. Откроется Мастер извлечения данных. Выберите опцию «Автоматическое подключение» и подождите, пока устройство будет найдено:

pic004.png

Нажмите Далее, чтобы завершить процесс подключения и начать извлечение данных одним из 3 способов: Резервная копия Android, Физический дамп и Логическое извлечение.

Устранение проблем

Если у Вас возникли проблемы с подключением, необходимо проверить работу сервера ADB (дословно Android Debug Bridge), поставляемого разработчиками ОС Android. Сделайте, пожалуйста, следующее:

  • Подключите устройство по кабелю
  • Зайдите в папку Мобильный Криминалист/SystemFiles, создайте файл .txt с содержимым, как на рисунке ниже:

pic005.png

Назовите файл device.bat и запустите. Запустится утилита ADB.exe в той же папке. Если сервер ADB работает корректно, то Вы увидите имя устройства в списке, как показано на рисунке. Имя будет представлено в виде цифр:

pic006.png

Если в списке нет устройств, значит, сервер ADB работает неправильно, и подключения в программе «Мобильный Криминалист» не будет. Нужно:

  • Переключить режим подключения устройства с ‘Charge only’ на ‘MTP’ или ‘PTP’.
  • Установить галочку ‘Фиктивные местоположения’ в разделе ‘Разработка’ исследуемого устройства.
  • Установить галочку ‘Неизвестные источники’ в разделе ‘Безопасность’ исследуемого устройства.
  • Отключите антивирусные программы, запущенные на устройстве.

 

3. Методы извлечения данных

После пдключения устросйтва «Мобильный Криминалист» предлагает 3 способа извлечения данных: Резервная копия Android, Физический дамп (после получения рут-прав и без получения рут-прав) и Логическое извлечение (с помощью утилиты OxyAgent).

pic001.png 

Метод Физический дамп’ – из устройства извлекается полная копия памяти устройства (и карты памяти, если она присутствует в устройстве). Для извлечения данных этим методом устройство должно иметь рут-доступ (он может быть получен в ходе извлечения). Извлекаются следующие данные: Веб соединения; Журнал событий; Лог-файлы аппарата; Медиа; Облачные учётные записи; Объединенные контакты; Органайзер (Заметки, Календарь); Пароли; Словари; Сообщения; Телефонная книга; данные приложений, исполняемые файлы приложений, удаленные файлы и т.д.

Метод Резервная копия Android’ (для устройств с ОС Android 4.0 и выше) – из устройства извлекаются данные, которые хранятся в резервной копии. Каждый производитель приложения сам решает, что будет сохранено в резервной копии. Этот метод извлекает меньше, чем физический, но в отличие от логического метода с OxyAgent дает доступ к приложениям и удаленным данным.

Метод Логическое извлечение данных’ - для чтения данных из устройства используется небольшое приложение OxyAgent. Программа «Мобильный Криминалист»  автоматически устанавливает OxyAgent в устройство. Приложение OxyAgent удаляется из устройства после логического извлечения данных. Если по какой-либо причине кабельное соединение было разорвано или программа закрылась с ошибкой, убедитесь, что приложение OxyAgent было удалено из устройства в меню Настройки/Приложения. Данный метод применим для всех устройств с OC Android, но дает доступ только к основным разделам программы: контакты, сообщения, календарь, звонки, файлы с карты памяти.

Для извлечения данных из устройства могут быть применены все три метода. Тогда извлечение будет максимально полным.

Root-доступ

Получение root-доступа к устройствам под управлением ОС Android позволяет экспертам полностью извлечь все данные пользователя.

Обычно подобная процедура требует определенных знаний и навыков, однако программа «Мобильный криминалист» делает эту операцию автоматически. Программа использует только безопасные методы получения прав суперпользователя. Эти методы не приведут к повреждению устройства. Существуют иные методы получения прав суперпользователя. Однако, при этом, существует вероятность повреждения устройства, в ходе получения root-доступа.

Получение прав root-доступа – одна из функций Мастера извлечения данных, который сопровождает пользователя в течение всего процесса получения прав суперпользователя. Важное преимущество этого проприетарного метода в том, что root-права являются временными и после перезагрузки устройства отменяются. Поэтому методика полностью соответствует принципам криминалистического исследования.

Применение прав root-доступа позволяет получить следующие данные:

  • Файловая система в полном объеме. Доступны и данные, сохраненные в памяти устройства, и данные на карте памяти.
  • Данные приложений: имена пользователя, пароли, истории, временные файлы и многое другое.
  • Гео информация о предыдущих местоположениях подозреваемого.
  • Удаленные данные и таблицы баз данных.
  • 100% результат применения прав root-доступа не может быть гарантирован, но эта процедура доступна для большинства смартфонов на платформе Android для версий 1.6 - 2.3.4 и 3.0 - 5.1.

Для получения root-доступа нужно выбрать соответствующий пункт в Мастере извлечения данных.

pic007.png

После запуска процедуры получения прав суперпользователя, программа «Мобильный Криминалист» будет последовательно применять различные эксплоиты для получения root-прав на устройстве.

pic008.png 

В случае успешного получения прав суперпользователя будет произведено извлечение данных способом выбранным экспертом.

Физическое извлечение без получения root-доступа

Физический дамп может быть извечен из некоторых устройств без получения root-доступа.

Это:

  • Устройства на базе процессора MTK
  • Устройства на базе процессора Spreadtrum
  • Устройства LG
  • Устройства Samsung

pic009.png 

Устройства на базе процессора MTK

Перед извлечением необходимо установить драйвера Media Tek Android устройств, входящие в состав пакета драйверов ПО «Мобильный Криминалист».

Для этого необходимо отключить проверку подписи драйвера.

Отключение проверки подписи драйверов в Windows 7

Для отключения проверки драйверов в Windows 7 необходимо осуществить следующие шаги:

В меню ‘Диагностика’ выберите пункт ‘Дополнительные параметры’ и в нем ‘Параметры загрузки’. Нажмите кнопку ‘Перезагрузить’. После перезагрузки компьютера появится меню выбора параметров загрузки. Для отключения проверки подписи драйверов нужно выбрать пункт ‘Отключить обязательную проверку подписи драйверов’ (Disable Driver Signature Enforcement) нажав на клавиатуре клавишу ‘F7’ или ‘7’.

pic010.png

Отключение проверки подписи драйверов в Windows 8, 10

Откройте панель ‘Charms’. Кликните ‘Параметры’, ‘Изменение параметров компьютера’. В пункте ‘Обновление и восстановление’ выберите ‘Восстановление’, ‘Особые варианты загрузки’, нажмите ‘Перезагрузить сейчас’.

После перезагрузки выберите пункт Диагностика’, затем ‘Параметры загрузки’ и нажмите ‘Перезагрузка’. На появившемся экране вы, используя функциональные клавиши, сможете выбрать пункт ‘Отключить обязательную проверку подписи драйверов’. После загрузки операционной системы, вы сможете установить неподписанный драйвер.

pic011.png

После отключения проверки подписи драйвера, установите маркер напротив надписи ‘Я отключил проверку подписи драйвера’ и нажмите копку ‘Установить драйвер’. После установки драйвера нажмите кнопку ‘Далее’.

pic012.png

После этого, необходимо осуществить следующие шаги:

  • подключите выключенное устройство к компьютеру;
  • запустите процедуру установки драйвера ‘MTK Preloader’;
  • отключите устройство и подключите его снова.

После этого, можно переходить непосредственно к созданию физического дампа.

Если устройство по каким-либо причинам не определилось компьютером, перед тем как подключать его вновь, необходимо вытащить и вставить вновь его батарею.

Устройства на базе процессора Spreadtrum

Перед извлечением необходимо установить драйвера Spreadtrum устройств, входящие в состав пакета драйверов ПО «Мобильный Криминалист».

После этого, необходимо осуществить следующие шаги:

  • Выключите устройство, отсоедините кабель и извлеките и вставьте батарею в устройство.
  • Подключите кабель к компьютеру.
  • Выберите устройство из списка, отображаемого в окне Мастера извлечения данных.
  • Нажмите кнопку ‘Подключить’. Во время поиска программой устройства, переведите его в режим ‘DFU’. Для этого нажмите кнопку ‘Volume Down’ (в некоторых моделях ‘Volume Up’) и подключите устройство к кабелю.

После этого, можно переходить непосредственно к созданию физического дампа.

Устройства Samsung

Извлечение физического дампа данным способом заключается в загрузке модифицированного образа восстановления.

Перед извлечением необходимо установить драйвера Samsung Odin (Samsung Recovery (Modem Driver)), входящие в состав пакета драйверов ПО Мобильный Криминалист.

Предупреждения:

  • Раздел восстановления будет перезаписан модифицированным образом восстановления. Предыдущий раздел восстановления будет недоступен для чтения.
  • После загрузки образа восстановления KNOX счетчик увеличится. Это аннулирует официальную гарантию Samsung.
  • Если будет выбрана неправильная модель, то будет загружен несовместимый образ. Устройство нельзя будет загрузить в режиме восстановления. Ситуация обратима и может быть исправлена загрузкой подходящего образа.
  • Системные и пользовательские данные не будут затронуты в процессе загрузки модифицированного образа восстановления.

Для извлечения данных из устройства Samsung кликните на опцию ‘Samsung Android дамп (модифицированный образ восстановления)’. При этом, откроется окно, содержащее предупреждения и информацию о данном методе извлечения. Ознакомьтесь с ней. Установите галочку ‘Я прочитал инструкцию’ и нажмите кнопку ‘Далее’. В открывшемся окне выберите модель устройства.

pic013.png

Для удобства пользователей, в программе используются следующие иконки:

  • если образ входит в состав дистрибутива программы, устройство помечено зеленым значком;
  • если для устройства имеется образ, но, он не установлен у пользователя, то эта модель мобильного устройства будет помечена иконкой синего цвета;
  • если для устройства нет образа, оно будет помечено значком красного цвета.

Часть образов восстановления входят в состав дистрибутива. Большую часть образов восстановления можно скачать из Личного кабинета. Мы рекомендуем  использовать образы восстановления из пакетов из Личного кабинета. Эти образы извлекают данные более быстро, работают более стабильно, позволяют расшифровывать зашифрованные пользовательские разделы устройств. Большая часть образов мобильных устройств, встречающихся на территории России, включена в пакет ‘Европа и Мир’.

После выбора модели, соответствующей исследуемому устройству, кликните кнопку ‘Далее’.

Переключение устройства в режим загрузки ('Download mode')

Для переключения устройства в режим загрузки можно:

  • Использовать специальный кабель
  • Произвести следующие манипуляции: Отсоедините устройство от кабеля и выключите его. Нажмите и удерживайте кнопки ‘Volume Down, ‘Menu’ и ‘Power’. Когда на устройстве появится предложение входа в режим загрузки, нажмите кнопку ‘Volume Up. Подключите устройство к компьютеру с помощью кабеля.

Устройство готово к загрузке. До начала загрузки образа восстановления нажмите и удерживайте ‘Volume Upи ‘Menu’. Нажмите кнопку ‘Загрузить’, удерживая кнопки устройства. Загрузка образа восстановления начнется после того как устройство перезагрузится. После начала загрузки, вы можете отпустить кнопки.

После загрузки образа восстановления, можно переходить непосредственно к созданию физического дампа.

Устройства LG

Перед осуществлением этой процедуры, необходимо установить драйвера LG (файл ‘LGMobileDriverWHQL.exe) входящие в пакет драйверов ПО «Мобильный Криминалист».

После этого, необходимо осуществить следующие шаги:

  • подключите кабель к компьютеру, не подключая его к телефону;
  • выключите телефон. Зажмите на нем кнопку увеличения громкости (‘Volume Up’) и подключите к нему кабель;
  • при появлении надписи ‘Download’ или логотипа LG отпустите кнопку увеличения громкости;
  • подождите несколько секунд. Аппарат должен перейти в режим ‘Firmware Update’. Если этого не произошло, повторите процедуру с первого шага.

После чего нужно щелкнуть по кнопке ‘Далее’ и через непродолжительное время вы увидите, что устройство подключено в Мастере извлечения данных и можно переходить непосредственно к созданию физического дампа.

Снятие пароля с устройств LG

pic014.png

C помощью программы «Мобильный Криминалист» можно произвести разблокировку заблокированного смартфона LG (Android).

Перед осуществлением этой процедуры, необходимо установить драйвера LG (файл ‘LGMobileDriverWHQL.exe’) входящие в  пакет драйверов поставляемый компаний ‘Оксиген Софтвер’.

После этого, необходимо осуществить следующие шаги:

  • подключите кабель к компьютеру, не подключая его к телефону;
  • выключите телефон. Зажмите на нем кнопку увеличения громкости (‘Volume Up’) и подключите к нему кабель;
  • при появлении надписи ‘Download’ или логотипа LG отпустите кнопку увеличения громкости;
  • подождите несколько секунд. Аппарат должен перейти в режим ‘Firmware Update’. Если этого не произошло, повторите процедуру с первого шага.

В появившемся окне, нажмите кнопку ‘Разблокировать’.

pic015.png

Устранение проблем

Если телефон LG не переходит в режим ‘Firmware Update’, воспользуйтесь следующими инструкциями:

Инструкция 1:

  • подключите кабель к компьютеру, не подключая его к телефону;
  • выключите телефон. Зажмите на нем кнопку увеличения громкости (‘Volume Up’) и подключите к нему кабель;
  • когда вы увидите, что на телефон стала подаваться нагрузка, отпустите кнопку увеличения громкости и нажмите ее повторно.
  • при появлении надписи ‘Download’ или логотипа LG отпустите кнопку увеличения громкости;
  • подождите несколько секунд. Аппарат должен перейти в режим ‘Firmware Update’.

Инструкция 2:

  • выключите мобильное устройство;
  • подключите мобильное устройство к компьютеру с помощью кабеля;
  • нажмите и удерживайте клавишу увеличения громкости;
  • нажмите на кнопку ‘Пуск’ (‘Power’);
  • ожидайте появления на экране мобильного устройства надпись: «Режим загрузки» ('Download mode’);
  • отпустите клавишу увеличения громкости. Вы должны увидеть на экране мобильного устройства надпись: «Обновление системного программного обеспечения» (‘Firmware Update’).

Создание дампа карты памяти устройства

С помощью программы Мобильный криминалист можно создать дамп карты памяти и произвести его анализ.

Для этого, подключите устройство чтения карт памяти, с установленной в нем картой памяти, к компьютеру.

Выберите  ‘Дамп карты памяти’ в Мастере извлечения данных.

pic016.png

В появившемся окне нажмите на кнопку  ‘подключить’.

Если вы хотите сохранить дамп карты памяти, а не только произвести анализ информации сохраненной на ней, установите галочку в соответствующем окне.

pic017.png

После этого, начнется процесс извлечения и анализа данных из карты памяти.

 

4. Импорт резервных копий и физических дампов

«Мобильный Криминалист» может импортировать резервные копии и физических дампов устройств с ОС Android, полученные вручную, с помощью иных программ или специализированных программаторов.

А именно, могут быть импортированы из:

  • резервной копии Android;
  • физического или JTAG образа Android;
  • файловой системы tarball/zip;
  • папки с образом файловой системы;
  • резервной копии Nandroid (CWM);
  • резервной копии Nandroid (TWRP);
  • TOT контейнера Android;
  • физического образа Android YAFFS;
  • образа или резервной копии UFED.

Эти резервные копии и физические образы могут быть импортированы в программу двумя способами:

Способ 1: Запустите программу «Мобильный Криминалист» и нажмите «Импорт файла» на панели инструментов. В открывшемся окне, выберите каталог с резервной копией (или физическим дампом). Нажмите кнопку «Открыть».

pic018.png 

В открывшемся окне выберите тип резервной копии (или физического дампа) и нажмите

кнопку «Далее».

pic019.png

В открывшемся окне выберите необходимые опции и нажмите кнопку «Далее».

pic020.png

В следующем окне, необходимо проверить правильность заданных условий извлечения и нажать кнопку «Извлечь».

pic021.png

Способ 2: Запустите «Мобильный Криминалист» и нажмите треугольник, расположенный слева от опции  «Импорт файла» на панели инструментов.

pic022.png

В выпадающем меню выберите последовательно опции: «Импорт резервной копии / образа Android», укажите тип резервной копии (или физического дампа) из которого будет произведено извлечение.

pic023.png

В открывшемся окне, выберите соответствующий каталог и укажите файл с резервной копией (физическим дампом). Нажмите кнопку «Открыть». Далее, необходимо последовательно проделать шаги, описанные выше.

С помощью модуля Passware Kit Mobile можно восстановить пароли:

- для резервных копий Android;

- для зашифрованных разделов физических дампов Android.

Модуль помогает найти пароли, используя новейшие алгоритмы и технологии, включая распределенную обработку и ускорение GPU с помощью плат ATI и NVIDIA.

 

5. Извлечение данных из облака

Альтернативным источником данных из устройств с ОС Android, является метод извлечения их резервных копий и иных данных из облаков. Доступ к ним может быт получен с помощью имени пользователя, пароля или токена извлеченных из памяти устройства.

pic024.png

Была ли эта статья полезной?
Пользователи, считающие этот материал полезным: 0 из 0
Еще есть вопросы? Отправить запрос

0 Комментарии

Статья закрыта для комментариев.