Криминалистический анализ Windows Phone 8

Не так давно мы с вами, уважаемые читатели, уже рассматривали анализ резервной копии iPhone (см. Windows IT Pro/re № 2 2014). Сегодня речь пойдет об анализе смартфонов, работающих под управлением ОС Windows Phone 8.

Для начала разберемся как делается резервная копия в данной ОС.

Резервное копирование в Windows Phone 8.0

В Windows Phone 8.0 компанией Microsoft реализовано резервное копирование данных смартфона, включая SMS-переписку, список приложений, включая настройки этих приложений, а также настройки загрузки фотографий и видео с помощью Windows Phone.

Функция резервного копирования доступна после того, как вы настроите вашу учетную запись Microsoft. В дальнейшем, если даже что-то произойдет с вашим Windows Phone (вы его потеряете, смените на новый и т.д.), вы сможете восстановить данные на новом устройстве.

Раньше в Windows Phone не было резервного копирования персональных данных, в том числе SMS-переписки. Мы ранее видели, что такая функция есть в Windows Phone Connector для Mac и в некоторых других сторонних приложениях, но было бы лучше иметь эту функцию, встроенную в Windows Phone.

В Windows Phone 8 Microsoft реализовала резервное копирование, которое автоматически сохраняет SMS переписку, список приложений (в том числе настройки), а также настройки о загрузке фотографий и видео с помощью Windows Phone. Используя облачные сервисы Microsoft, переписка и настройки приложений автоматически сохраняются.

Функция доступна после входа под учётной записью Microsoft (требуется для хранения резервных копий в облаке). Если что-то случится с вашим Windows Phone, если вы купите новый (или меняете их регулярно), резервные копии помогут восстановить данные на другом устройстве.

Сделать резервное копирование данных с помощью Windows Phone очень просто. Следующие данные копируются автоматически по умолчанию:

  1. Избранное Internet Explorer
  2. Список установленных приложений
  3. Настройки темы
  4. История вызовов
  5. Настройки приложений (например, настройки электронной почты и экрана блокировки)
  6. Сообщения (SMS переписка)
  7. Фотографии

Управление резервным копированием приложений, SMS и медиа-файлов осуществляется в меню Настройки – Система- Резервное копирование.

Рисунок 1 Резервное копирование

 

Приложения + настройки

Стоит учесть, что несмотря на то что список приложений сохраняется, сами приложения не сохраняются. Вместе с тем каждое приложение можно восстановить, нажав на название в списке приложений.

Вместе с тем стоит учесть, что вы можете удалить все резервные копии, нажав Дополнительно – Удалить.

Рисунок 2 Приложения

Текстовые сообщения

В Windows Phone 8 резервные копии СМС-сообщений создаются автоматически. Также здесь существенно больше возможностей для управления резервным копированием.

Настройками можно управлять нажав пункт меню SMS. Появятся опции, которые можно включить либо выключить.

Рисунок 3 Настройка СМС

Фото + Видео

Отдельно мы можем настроить резервное копирование фото и видео материалов. Учтите размер используемого трафика.

  1. В списке приложений коснитесь пункта Настройки > Резервное копирование.
  2. Коснитесь пункта Фотографии и выполните одно из следующих действий.
    • Коснитесь команды Не отправлять, чтобы отменить сохранение фото и видео в облаке.
    • Коснитесь пункта Высокое качество, чтобы сохранять фото и видео в экономичном по объему хранения в SkyDrive разрешении.
    • Коснитесь пункта Высшее качество, чтобы сохранять фото и видео в самом высоком разрешении.

    Внимание!

    • Чтобы автоматически загружать видео и фотографии высокого качества, вам потребуется подключение к Wi-Fi.
    • Если выбрать параметр Максимальное качество, будут загружаться только фотографии с разрешением 10 мегапикселей или меньше. Чтобы загружать с телефона более крупные фотографии, необходимо использовать проводник (если у вас ПК) или приложение Windows Phone для Mac (если у вас Mac).

    Рисунок 4 Настройка Фото+Видео

    Восстановление резервных копий

    Восстановление сохраненных резервных копий при настройке нового Windows Phone — это очень просто. Если параметры были настроены правильно и личные данные были автоматически сохранены в облаке, то восстановить всё будет довольно легко. Для начала надо будет войти в аккаунт Microsoft, используемый на предыдущем смартфоне на Windows Phone.

    Выполните следующие шаги для резервного копирования на новый Windows Phone:

    1. Зайдите на аккаунт Microsoft, используемый для создания резервной копии.
    2. Следуя подсказкам, выберите нужную резервную копию и нажмите «Далее», чтобы продолжить процесс.
    3. Ранее сохранённые данные начнут скачиваться (продолжительность зависит от скорости соединения и размера сохранённой копии), затем вы можете ввести пароли для восстановленных аккаунтов или настроить восстановление электронной почты и аккаунтов в социальных сетях позже.

    Windows Phone будет по-прежнему использовать настройки по умолчанию для стартового экрана, настройки Wi-Fi сетей не будут восстановлены и приложения должны быть установлены вручную (просто нажимайте на каждое приложение в списке и оно начнет устанавливаться).

    Восстановление информации с Windows Phone

    Следует отметить, что на смартфоне под управлением Windows Phone 8 существует несколько вариантов восстановления.

    Если исследуемы смартфон подключен кабелем к USB_порту вашего ПК, то для чтения доступен только протокол MTP (media transfer protocol). При использовании данного протокола доступны только минимальная общая информация и медиа-файлы (фотографии, видео, музыкальные файлы).

    При подключении по Bluetooth есть возможность прочитать список контактов и лог звонков.

    Если же удается получить доступ к резервной копии, то исследователю доступны, соответственно, СМС, контакты, заметки.

    Вот такой уникальной ОС является Windows Phone 8 - каждый метод излечения дает свои данные.

    Подключение смартфона по кабелю.

    Для анализа данных используем программное обеспечение "Мобильный криминалист" от ЗАО "Оксиджен Софтвер" .

    Рисунок 5 Главное окно Oxygen Forensic Suite

    Выбираем Подключить устройство и подключаем по USB-кабелю наш смартфон.

    Далее вы можете либо провести Автоматическое обнаружение или указать марку телефона вручную.

    Рисунок 6 Обнаружение устройств

    На следующем этапе вы должны будете указать номер дела, номер вещественного доказательства, фамилию эксперта, фамилию владельца и его электронный адрес.

    Рисунок 7 Заполнение информации о вещественном доказательстве

    Запускается мастер извлечения данных (рис.8).

    Рисунок 8 Мастер извлечения данных

    Определяем какие данные мы хотели бы извлечь.

    Рисунок 9 Выбор разделов для извлечения

    После этого запускается процесс извлечения данных из устройства.

    Рисунок 10 Извлечение данных из устройства

    По окончании извлечения данных вам будет предложено либо записать данные в архив, либо открыть устройство для дальнейшей работы.

    С моей точки зрения гораздо правильнее записать данные в архив и в дальнейшем все манипуляции проводить с архивом, дабы сберечь оригинальное доказательство в целостности. Значение по умолчанию – Открыть устройство.

    Рисунок 11 Извлечение данных завершено

    По окончании вы также можете сформировать отчет в виде pdf-файла.

    Как только вы завершили предыдущий этап, вы можете посмотреть,  что вы извлекли, а также то, что можно получить на основе извлеченных данных.

    Рисунок 12 Данные, полученные с устройства

    Как видно из рис. 12 мы можем просмотреть Ленту событий и Файловый браузер устройства.

    Что это нам может дать?

    Рассмотрим ленту событий.

    В данном случае в ленте событий мы можем просмотреть дату и время появления тех или иных файлов (в данном случае фотографий).

    В случае если мы выберем файловый браузер, то сможем посмотреть содержимое тех или иных папок на телефоне.

    Рисунок 13 Просмотр файлового браузера

    Как видите, ни содержимое телефонного справочника, ни список звонков (СМС) мы просмотреть не можем.

    Восстановление информации из облачной резервной копии

    Для того чтобы получить доступ к резервной копии, вам необходимо иметь соответствующий Microsoft Live Account и его пароль. Как вы его получите – это выходит за рамки нашего обсуждения. Это может быть социальная инженерия, вирусная атака и т.д.

    Мы же в дальнейшем считаем, что эти сведения у нас с вами уже есть.

    Итак, в главном окне ПО «Мобильный криминалист» выбираем Импорт архива – Импорт Windows Phone из облака.

    Рисунок 14 Импорт Windows Phone из облака

    При этом опять-таки запускается Мастер извлечения данных.

    В окне Мастера вы вводите имя учетной записи Windows Live и пароль.

    Рисунок 15 Ввести учетные данные Windows Live

    При вводе пароля он отображается в явном виде.

    Далее проводится извлечение данных.

    После извлечения данных выбираем Открыть устройство и провести анализ.

    Рисунок 16 Данные, полученные из резервной копии

    Как видно из рисунка 16, мы имеем значительно больший объем данных для анализа, в том числе телефонную книгу, объединенные контакты, сообщения. Следовательно, можем построить Граф связей и Статистику и связи.

    Рисунок 17 СМС сообщения

    Отсюда, соответственно, можно построить Граф связей и т.д.

    Таким образом, можно сделать вывод о том, что помимо исследования самого телефона нам для проведения расследования обязательно нужно проводить исследование резервной копии этого телефона.

    Стоит учесть, что получить данные резервной копии можно также при помощи программного обеспечения Elcomsoft Phone Password Breaker.

    Рассмотрим применение данного ПО.

    Получение данных резервной копии с помощью Elcomsoft Phone Password Breaker

    После запуска переходим в меню Tools и выбираем Microsoft – Download Windows Phone Data

    Рисунок 18 Загрузка резервной копии Windows Phone

    После выбора Download Windows Phone Data в появившемся окне вводим имя учетной записи Windows Live и пароль.

    Рисунок 19 Ввести имя и пароль

    После этого начинается загрузка файлов резервной копии.

    Рисунок 20 Загрузка резервной копии

    В результате получаем файл [email protected]_20140419T075713.zip, в котором содержатся:

    Содержимое указанных файлов можно просмотреть с помощью SQLite Expert Personal. Данное ПО можно скачать. Для персонального использования данное ПО распространяется бесплатно, без ограничения срока использования.

    Заключение

    Таким образом, Рисунок 18 Загрузка резервной копии Windows Phoneожно отметить, что добыть данные, интересующие эксперта, из смартфона под управлением Windows Phone 8.0 значительно сложнее, чем с iPhone.

    Кроме того, необходимо отметить что для получения данных необходимо использовать приемы социальной инженерии.

    Безмалый В.Ф.

    Microsoft Security Trusted Advisor

    MVP Consumer Security

     

     

     

     

     

     

     

    Версия для печатиВерсия для печати

    Рубрики: 

    • 1
    • 2
    • 3
    • 4
    • 5
    Всего голосов: 0
    Заметили ошибку? Выделите ее мышкой и нажмите Ctrl+Enter!

    Комментарии

    Аватар пользователя Al

    Вот не ожидал, что такое напишет Влад. Дочитал и удивился, увидев подпись. Какая-то рваная не особо осмысленная инфа без вступления и разъяснения. Начал одно, закончил другим, ссылка какая-то странная в начале статьи. Что за трава? Эту больше курить не надо!