Мобильные устройства

«Мобильный Криминалист» версии 1.4 и 11.9 извлекает и расшифровывает полный физический образ устройств на базе процессоров Kirin 710, 710F, 970, 980 с операционной системой Android от 9 до 10 версии, вне зависимости от вида шифрования.

Процесс извлечения состоит из двух основных этапов:

На первом этапе извлекается физический образ устройства.

Для того, чтобы извлечь доступные данные из исследуемого устройства, необходимо выполнить следующие действия:

  • запустить «Мастер Извлечения Данных»;
  • выбрать метод «Huawei Android дамп»;
  • выбрать модель исследуемого гаджета;
  • убедиться, что на компьютере установлен драйвер для подключения Huawei-устройств;
  • убедиться, что аппарат полностью заряжен, и выключить его;
  • снять заднюю панель и замкнуть контактные точки на плате устройства; 
  • подключить его к ПК по USB-кабелю;
  • убедиться, что оно подключено в правильном режиме. Если гаджет подключен правильно, то он отобразится в диспетчере устройств как COM-порт с именем HUAWEI USB COM 1.0;
  • прочитать инструкцию и подтвердить ее прочтение;
  • дождаться извлечения системных разделов;
  • зажать кнопку питания исследуемого устройства для его переподключения к компьютеру;
  • отпустить кнопку питания и подождать, пока программа автоматически переподключит смартфон к ПК;
  • выбрать папку для сохранения данных на ПК;
  • перейти к извлечению физического образа.

После извлечения данных из устройства, зашифрованного с применением аппаратных ключей, появится окно с общей информацией по процессу их извлечения из устройства. Необходимо подтвердить прочтение инструкции, представленной в программе, и после этого перейти к следующему этапу.

На втором этапе извлекаются аппаратные ключи, необходимые для последующей расшифровки полученных данных. 

Практически весь процесс извлечения ключей автоматизирован, от пользователя требуется только перезагружать устройство на определенных этапах. 

Для перезагрузки необходимо: 

  • зажать кнопку питания (обязательно при включенном экране устройства) до появления меню с кнопками «Перезагрузить» и «Выключить»;
  • нажать кнопку «Перезагрузить». 

Затем устройство автоматически перезагрузится. В зависимости от модели, данные действия, возможно, потребуется повторить несколько раз для извлечения всех ключей.

В случае наличия пароля на блокировку экрана, во время извлечения последнего ключа шифрования программа предлагает ввести известный пароль или подобрать его. При этом, если устройство базируется на чипсетах 710, 710F и 970, данный этап можно пропустить. Но, если исследуемый телефон основан на чипсете 980, для получения последнего ключа подбор или ввод пароля обязателен.

После того, как «Мастер Извлечения Данных» завершит процедуру извлечения аппаратных ключей, программа предложит импортировать полученные данные или просмотреть результаты извлечения в папке. 

В случае наличия пароля блокировки экрана на устройстве с чипом 710, 710F и 970 и пропуска этапа его подбора или ввода во время извлечения последнего аппаратного ключа шифрования, программа попросит ввести его для расшифровки полученной информации в полном объеме. Если пароль неизвестен, «Мобильный Криминалист» дает возможность подобрать его с помощью встроенного модуля подбора паролей.

Если пароль известен, был подобран или вовсе не был установлен, результатом извлечения станет расшифрованный физический образ исследуемого устройства. В случае отсутствия пароля получится расшифровать лишь часть данных.

Иногда в ходе работы с методом извлечения «Huawei Android дамп» могут возникать нештатные ситуации, каждую из которых можно решить, и продолжить исследование данных на устройстве.

Потенциальные неполадки и их решения: 

  1. Полностью разрядился аккумулятор устройства.
  2. Устройство отсоединилось во время извлечения и перешло в нерабочее состояние или устройство перешло в нерабочее состояние после работы с данным методом извлечения. 
  3. Возникла ошибка при извлечении аппаратных ключей.
  4. Не получилось подобрать пароль.
  5. Устройство на этапе извлечения ключей не перезагрузилось автоматически в режим Fastboot.
  6. После перезагрузки в Fastboot программа не видит устройство в требуемом режиме.

Что делать в каждой ситуации? 

Неполадки под номерами 1 и 2 требуют восстановления исходного состояния устройства. Для этого необходимо:

  • отключить устройство от ПК;
  • отсоединить шлейф аккумулятора устройства; 
  • перезапустить «Мастер Извлечения Данных»;
  • выбрать метод «Huawei Android дамп»;
  • выбрать модель исследуемого устройства и перейти далее;
  • кликнуть по строке «Восстановите xloader»;
  • подключить устройство к ПК, как и ранее (замкнув контактные точки на его плате и подключив по USB-кабелю к ПК);
  • дождаться восстановления исходного состояния устройства;
  • присоединить шлейф аккумулятора к плате;
  • включить устройство.

Для успешного извлечения ключей (3), попробуйте еще раз повторить все действия, внимательно соблюдая инструкции.

К сожалению, бывают ситуации, когда встроенный модуль подбора пароля не справляется с данной задачей (4). Не стоит отчаиваться, ведь программа извлекает из устройств на базе процессоров 710, 710F и 970 не только образ и ключи, но и данные для подбора пароля вне его, делая возможным подбор пароля дополнительными сторонними инструментами, используя файлы, полученные «Мобильным Криминалистом». 

Пятая нештатная ситуация решается очень легко — необходимо просто перевести устройство в режим Fastboot вручную.

Наконец, если после перевода устройства в Fastboot-режим, «Мастер Извлечения Данных» не определяет его (6), необходимо подключить в любой свободный USB-порт компьютера любое устройство.

 

Мастер Извлечения Данных
Выбор модели
Инструкция
Подключение
Извлечение физического образа
Извлечение ключей
Подбор пароля
Пропустить подбор пароля
Результаты
Восстановление xloader