При производстве экспертизы в цифровой криминалистике или расследовании корпоративных инцидентов, касающихся Android-устройств, как правило, используется стандартное резервное копирование ADB: это безопасный и стандартный метод извлечения данных с гаджета без риска его "окирпичить", а также получить доказательства, которые "не выстоят" в суде из-за использования нестандартных подходов, таких как эксплойты уязвимостей.

Недостаток резервного копирования в том, что копия содержит ограниченное количество информации по сравнению с полным образом файловой системы устройства. Ситуация становится всё сложнее, так как многие новые версии приложений уже не сохраняют свои данные в "бэкапах". Метод, описанный в этой статье, полезен для получения данных из тех приложений, которые ранее позволяли сохранять данные в резервных копиях, а теперь не предоставляют такую возможность.

Метод понижения версии Android APK позволяет пользователю перейти на более раннюю версию приложения, при этом такая версия временно копируется на устройство. Эта простая хитрость позволяет извлекать данные из приложений, которые ограничили набор данных, попадающих в бэкап, полностью или частично. Примеры таких приложений включают в себя Facebook Messenger, WhatsApp, Signal, Telegram, и другие.

Когда процесс извлечения завершён, важно восстановить оригинальную версию приложения на устройстве.

В этой статье мы покажем данный подход на примере Belkasoft X, инструмента цифровой криминалистики и расследования инцидентов от компании Белкасофт. Belkasoft X поддерживает получение данных с нескольких десятков наиболее популярных Android-приложений путём понижения их версии.

Как использовать метод понижения версии приложений в Belkasoft X

1. Запустите Belkasoft X и выберите снятие данных с Android

Пожалуйста, изучите обучающие видео Belkasoft, чтобы узнать, как добавить источник данных в ваше дело.

2. Выберите метод снятия данных "APK Downgrade":

Рис. 1: Выбор типа снятия данных с понижением версии APK

3. Подсоедините устройство Android к компьютеру через USB-кабель:

Рис. 2: Подсоединенное устройство Android

Требования к этому методу такие же, как и для запуска стандартного резервного копирования ADB:

  • Устройство должно быть включено
  • Оно должно быть разблокировано
  • Должен быть включён режим разработчика
  • Должен быть включён режим отладки USB

Доступ с правами администратора не требуется.

4. Выберите одно или несколько приложений для получения данных:

Рис. 3: Выбор приложений для получения данных

Этот экран отображает только только те приложения, которые установлены на подсоединённом устройстве и поддерживают этот метод.

Как только вы начнёте процесс снятия данных, продукт произведёт следующие действия:

  • Создаст резервные копии текущих версий приложений
  • Далее, он установит более ранние версии приложений, которые ещё сохраняли данные в резервную копию. Данные пользователя при этом сохраняются
  • После, Belkasoft X перезагрузит устройство (это необходимо для Android 6.0 и более новых версий)
  • Создаст резервную копию ADB
  • Наконец, восстановит исходные версии приложений

Если что-то пойдёт не так, следующая попытка снятия данных этим же методом устранит проблему, восстановив исходные версии приложений, надёжно сохранённых во временной папке на Android-устройстве.

5. Просмотр полученных данных в Belkasoft X:

Рис. 4: Извлечённые данные анализируются и отображаются в окне артефактов Belkasoft X

Заключение

Метод понижения версии Android APK — это эффективный и безопасный путь извлечения информации из различных приложений, даже если их нынешние версии не сохраняют данные в резервной копии ADB.

Belkasoft X помогает пользователю автоматизировать этот процесс. Продукт надёжно обрабатывает потенциальные проблемные ситуации и восстанавливает исходную версию приложения, как только сбор данных завершён.

Полезные ссылки

Загрузите бесплатную пробную версию Belkasoft X: