Мобильные устройства

Бывают ситуации, когда к экспертам для исследования попадает мобильное устройство с поврежденным USB-портом. В таком случае извлечь данные из устройств на ОС Android возможно с помощью приложения-агента от нашей компании.

Получить доступ к данным на телефоне можно, установив агента на устройство через Wi-Fi или SD-карту.

Для работы с агентом по Wi-Fi необходимо:

  1. Открыть модуль «Мастер извлечения данных».
  2. Выбрать метод «МК Агент извлечение через Wi-Fi» («МК Эксперт») или «МК Агент извлечение через Wi-Fi» («МК Детектив»).
  3. Подключить устройство к WiFi-сети, в которой находится и компьютер исследователя.
  4. Кликнуть по строке «пожалуйста, установите его».
  5. Отсканировать QR-код исследуемым устройством или ввести ссылку, указанную в окне программы, в любом интернет-браузере на нем.
  6. Установить агента на устройство, запустить его и подтвердить все необходимые разрешения.
  7. Выбрать пункт «Подключиться к агенту по Wi-Fi» (на устройстве). 
  8. Убедится, что после этого в специальном поле в «МК» автоматически отобразился IP-адрес сети, совпадающий с IP-адресом, указанным на экране устройства. В том случае, если IP-адрес адрес не был подставлен программой автоматически, необходимо ввести его вручную (IP-адрес указан на экране устройства).
  9. Перейти далее в программе на компьютере. Выбрать интересующие типы данных.
  10. Дождаться окончания извлечения.
  11. Удалить агента из устройства или продолжить с ним работу.
  12. Изучить полученные результаты.

Если вы хотели бы подключиться к устройству по Wi-Fi повторно с ранее установленным приложением на нем (версии с поддержкой извлечения по Wi-Fi), необходимо повторить действия с 1 по 3 пункт, пропустить пункты 4 и 5, выбрать функцию подключения к агенту по Wi-Fi в приложении на телефоне и ввести IP-адрес сети в специальное поле программы на ПК.

Во втором случае для установки агента требуется перенести его на SD-карту. Для этого необходимо:

В ПО «Мобильный Криминалист Эксперт»:

  1. Запустить модуль «Мастер извлечения данных».
  2. Выбрать метод «Автономное МК Агент извлечение».
  3. Указать программе путь к карте памяти, нажать на кнопку «Записать».

В ПО «Мобильный Криминалист Детектив»:

  1. Запустить модуль импорта по пункту «Импорт с помощью Мастера извлечения данных».
  2. Выбрать пункт «Архив или образ Android».
  3. Выбрать «МК Агент извлечение».
  4. Указать программе путь к карте памяти, нажать на кнопку «Записать».

После этого для извлечения и сохранения данных потребуется:

  1. Вставить карту памяти в устройство.
  2. Найти на ней установочный файл агента и запустить его.
  3. Подтвердить все разрешения, запрашиваемые устройством.
  4. Для извлечения и сохранения данных на карту памяти выбрать пункт «Извлечение во внутреннее/внешнее хранилище».
  5. Указать путь для сохранения информации.
  6. Выбрать типы данных, которые необходимо извлечь.
  7. Дождаться окончания извлечения.
  8. Удалить агента из устройства или продолжить с ним работу.

Далее необходимо аккуратно извлечь из гаджета SD-карту и импортировать полученные данные в ПО «Мобильный Криминалист» для их последующего анализа. Для этого необходимо:

При продолжении работы с программой в предыдущей сессии:

  1. Продолжить работу в программе с последнего окна, в котором была осуществлена загрузка агента на карту памяти. Перейти далее.
  2. Указать путь к полученным ранее данным.
  3. Дождаться окончания импорта и анализа информации.
  4. Изучить результаты в «МК».

При закрытии предыдущей сессии работы с программой на ПК:

  1. Вновь запустить модуль импорта или модуль «Мастер извлечения данных» (в зависимости от ПО).
  2. Пропустить окно записи агента на карту памяти, нажав на кнопку «Далее».
  3. Указать путь к полученным ранее данным.
  4. Дождаться окончания импорта и анализа информации.
  5. Изучить результаты в «МК».

Важно отметить, что данный инструмент работает только на разблокированных мобильных устройствах с ОС Android от версии 4.х и с возможностью установки приложений. 

Для работы с агентом через карту памяти устройство должно обладать слотом для SD-карт. Помимо этого, при автономной работе агент выполняет шифрование извлекаемой информации с целью ее защиты до переноса на компьютер исследователя.

Более того, он позволяет создавать скриншоты самых разных приложений на устройстве в автоматическом или ручном режиме, а также обладает доступом к данным мессенджера WhatsApp. 

Для создания скриншотов в установленном приложении на устройстве необходимо выбрать пункт «Создание скриншотов», включить дополнительную опцию работы агента поверх всех других приложений в настройках смартфона, задать путь сохранения скриншотов.

Для запуска автоматического режима также требуется активировать несколько сторонних возможностей гаджета. Их набор и месторасположение зависят от его бренда и модели. После клика по строке «Перейти в настройки», агент переходит в меню настроек телефона, в котором необходимо найти и включить дополнительные возможности.

После выполнения всех вышеописанных действий можно приступить непосредственно к созданию скриншотов. Для этого:

  1. Выберите интересующее приложение на устройстве.
  2. Нажмите на синий кружок для создания одного скриншота (в ручном и автоматическом режиме) или на стрелку вверх/вниз для создания серии скриншотов (в автоматическом режиме).
  3. Чтобы остановить процесс достаточно один раз коснуться экрана устройства.
  4. Для анализа изображений импортируйте их в программу через пункт «Извлечение МК Агент».

Для извлечения данных приложения WhatsApp необходимо:

  1. Перевести устройство в авиа-режим.
  2. В приложении-агенте кликнуть по кнопке «Извлечь данные сторонних приложений».
  3. Указать путь сохранения данных.
  4. Включить службу «МК Агент» в настройках устройства, в блоке «Специальные возможности».
  5. Установить английский язык основным языком устройства в настройках телефона.
  6. Выбрать приложение WhatsApp или WhatsApp Business.
  7. Кликнуть по типу данных, которые хотели бы получить (информация об учетной записи, контакты, чаты или все данные).
  8. При выборе экспорта чатов или экспорта всех данных: задать настройки экспорта чатов и вложений.
  9. Подождать, пока агент выполнит извлечение информации.
  10. Импортировать полученные данные в «МК» через пункт «Извлечение МК Агент».

ВНИМАНИЕ! Следует помнить о том, что:

  • Приложение WhatsApp обладает системными ограничениями на экспорт данных: не более 10 000 сообщений с вложениями и не более 40 000 сообщений без вложений.
  • Во время извлечения данных мессенджера агентом, взаимодействие с экраном устройства запрещено, так как это приводит к прерыванию процесса экспорта.
  • Работа с экраном телефона не осуществляется в том случае, если во время экспорта иконка приложения-агента не входит в видимое поле программ для экспорта данных WhatsApp. Требуется прокрутить список приложений в окне до тех пор, пока в видимое поле не попадет логотип «МК Агента».

Извлечение резервных копий приложения Signal

«МК Агент» извлекает резервные копии мессенджера Signal, которые содержат следующие сведения: контакты из телефонной книги и приложения, приватные и групповые чаты, вложения, стикеры, а также данные учетной записи. Кроме того, в резервную копию попадают SMS- и MMS-сообщения, если владельцем устройства была включена соответствующая опция.  

Стоит отметить, что резервные копии в приложении защищены 30-значной парольной фразой. 

Для извлечения информации из Signal требуется:

  1. Перевести устройство в авиарежим.
  2. В «МК Агенте» на устройстве кликнуть по кнопке «Извлечь данные сторонних приложений».
  3. Указать путь сохранения результатов.
  4. Включить службу «МК Агент» в настройках устройства, в блоке «Специальные возможности».
  5. Выбрать приложение Signal.
  6. Подождать, пока программа проверит наличие существующих резервных копий на смартфоне. 

Далее, если резервные копии на устройстве не обнаружены, следует выполнить следующие действия:

  1. Кликнуть по клавише «Создать новую резервную копию».
  2. В открывшемся окне нажать «Начать».
  3. Подождать, пока «Агент» закончит создание и извлечение резервной копии. 

Необходимо помнить о том, что резервные копии могли быть вручную удалены владельцем устройства при оставшейся активной функции резервного копирования. Следовательно, при создании «Агентом» новой копии с новой парольной фразой, владелец не сможет ее подобрать.  

Поэтому, во избежание подобной ситуации, можно получить резервную копию, зашифрованную действующей парольной фразой. Для этого, следует перед нажатием кнопки «Начать» отметить флажком пункт «В случае включенной опции создания резервных копий не отключать ее, а создать резервную копию с действующей парольной фразой». 

Если «МК Агент» обнаружил на исследуемом устройстве резервные копии Signal, и известна 30-значная парольная фраза, с которой они были созданы, возможно несколько вариантов действий: извлечение только существующих резервных копий, а также сохранение и извлечение новой, помимо существующих. 

Первый вариант предполагает следующие шаги:

  1. Кликнуть по кнопке «Извлечь только существующие резервные копии».
  2. Ввести в специальной области парольную фразу.
  3. Отметить галочкой пункт «Проверить, является ли введенная парольная фраза верной». Можно также пропустить проверку валидности пароля. Это позволит ускорить процесс извлечения копий из устройства. 
  4. Нажать на кнопку «Начать».

Второй вариант, в свою очередь, потребует следующих действий:

  1. Кликнуть по клавише «Извлечь существующие резервные копии и создать новую».
  2. Ввести в специальное поле парольную фразу. Стоит отметить, что код можно ввести после извлечения резервных копий, при импорте в «Мобильный Криминалист Эксперт».
  3. Нажать на кнопку «Начать».

Если же парольная фраза неизвестна, «Агент» предлагает исследователю удалить все найденные копии, отключить функцию резервного копирования данных в приложении и создать новую копию, которая будет зашифрована новой парольной фразой. Для этого пользователю следует выполнить следующее:

  1. Кликнуть по кнопке «Парольная фраза неизвестна» в нижней части экрана устройства.  
  2. Отметить флажком пункт «Отключить опцию создания резервных копий и удалить все резервные копии после извлечения». 
  3. Подтвердить удаление созданной новой резервной копии из устройства, отметив галочкой пункт «Я понимаю, что все существующие резервные копии будут удалены и готов продолжить». Если резервная копия останется на смартфоне, его владельцу не будет известна парольная фраза, с которой она была создана. 
  4. Нажать на кнопку «Начать».

В результате работы «Агента», независимо от выбранного пользователем сценария, в программу импортируются одна или несколько (до трех) резервных копий, данные в которых могут быть проанализированы с помощью программного продукта «Мобильный Криминалист Эксперт».  

Извлечение данных Discord

Для извлечения данных приложения Discord, необходимо выполнить следующие действия:

  1. Проверить подключение устройства к Интернету.
  2. В программе-агенте нажать на кнопку «Извлечь данные сторонних приложений».
  3. Указать путь сохранения данных. Включить службу «МК Агент» в настройках устройства, в блоке «Специальные возможности».
  4. Выбрать в списке приложение «Discord».
  5. Кликнуть по типу данных, которые необходимо получить (информация об учетной записи, контакты, чаты или все данные).
  6. При выборе экспорта чатов или экспорта всех данных: задать настройки экспорта чатов и вложений.
  7. Подождать, пока программа-агент выполнит извлечение информации.
  8. Импортировать полученные данные в «МК» через пункт «Извлечение МК Агент».

Внимание! Стоит помнить, что: Смартфон обязательно должен быть подключен к Интернету. Во время извлечения данных мессенджера агентом, взаимодействие с экраном устройства запрещено.

Извлечение данных Twitter

Для извлечения данных из приложения Twitter, необходимо выполнить следующие действия:

  1. Проверить подключение устройства к Интернету.
  2. В программе-агенте нажать на кнопку «Извлечение данных сторонних приложений».
  3. Указать путь сохранения данных. Включить службу «МК Агент» в настройках устройства, в блоке «Специальные возможности».
  4. Выбрать Twitter в списке приложений.
  5. Выбрать данные, которые необходимо получить (информация о профиле пользователя, контакты, лента, чаты, файлы или все данные).
  6. Задать необходимые настройки фильтров по извлечению и продолжительность записи видеофайлов вложений.
  7. Импортировать полученные данные в «Мобильный Криминалист» через пункт «Извлечение МК Агент».

Извлечение данных Line

Для извлечения данных из приложения Line, необходимо выполнить следующие действия:

  1. В программе-агенте нажать на кнопку «Извлечение данных сторонних приложений».
  2. Указать путь сохранения данных. Включить службу «МК Агент» в настройках устройства, в блоке «Специальные возможности».
  3. Выбрать Line в списке приложений.
  4. Выбрать данные, которые необходимо получить (информация о профиле пользователя, контакты, чаты или все данные).
  5. Задать необходимые настройки извлечения.
  6. Подождать, пока программа-агент выполнит извлечение информации.
  7. Импортировать полученные данные в «Мобильный Криминалист» через пункт «Извлечение МК Агент».

 

Выбор метода извлечения данных из Android-устройств по Wi-Fi в ПО «Мобильный Криминалист Эксперт»
Выбор метода извлечения данных из Android-устройств по Wi-Fi в ПО «Мобильный Криминалист Детектив»
Сканирование QR-кода для скачивания агента на устройство
Установка агента на устройство
Установка агента на устройство
Подтверждение всех необходимых разрешений, запрашиваемых агентом
Главный экран приложения на устройстве
Выбор типов данных для извлечения (в программе на ПК)
Извлечение данных из устройства (экран программы на ПК)
Извлечение данных из устройства (экран устройства)
Выбор действия после завершения работы агента на устройстве
Повторное подключение к устройству по Wi-Fi сети с ранее установленным агентом на нем
Выбор метода «Автономное МК Агент извлечение» в ПО «Мобильный Криминалист Эксперт»
Метод «Автономное МК Агент извлечение» в ПО «Мобильный Криминалист Детектив»
Метод «Автономное OxyAgent извлечение» в ПО «Мобильный Криминалист Детектив»
Указание пути для сохранения установочного файла приложения
Указание пути для сохранения информации на карту памяти
Выбор типов данных для извлечения (в приложении на устройстве)
Указание пути к данным в ПО «Мобильный Криминалист»
Предоставление дополнительного разрешения агенту на устройстве для создания скриншотов
Предоставление дополнительного разрешения агенту на устройстве для создания скриншотов
Активация специальных возможностей агента для создания скриншотов в автоматическом режиме
Экран выбора режима создания скриншотов
 Настройка агента перед извлечением данных мессенджера WhatsApp
Выбор типов данных для извлечения (WhatsApp)
Настройка экспорта чатов
Импортированное извлечение в ПО «Мобильный Криминалист Эксперт»