Не так давно мы с вами, уважаемые читатели, уже рассматривали анализ резервной копии iPhone (см. Windows IT Pro/RE № 2 за 2014 год). Сегодня речь пойдет об анализе данных смартфонов, работающих под управлением Windows Phone 8. Для начала выясним, как создается резервная копия в данной операционной системе.

Резервное копирование в Windows Phone 8.0

Раньше в Windows Phone не было резервного копирования персональных данных, в том числе SMS-переписки. Когда-то такая функция была в Windows Phone Connector для Mac и в некоторых других сторонних приложениях, но было бы лучше иметь эту функцию, встроенную в Windows Phone.

В Windows Phone 8 разработчики Microsoft реализовали резервное копирование, которое автоматически сохраняет SMS-переписку, список приложений (в том числе настройки), а также данные о загрузке фотографий и видео с помощью Windows Phone. При помощи «облачных» служб Microsoft переписка и настройки приложений автоматически сохраняются.

Функция доступна после регистрации с учетной записью Microsoft (требуется для хранения резервных копий в «облаке»). Если что-то случится с вашим Windows Phone, если вы купите новое устройство (или меняете их регулярно), резервные копии помогут восстановить данные на другом устройстве.

Выполнить резервное копирование данных с помощью Windows Phone очень просто. Следующие данные копируются автоматически по умолчанию:

  • папка «Избранное» в Internet Explorer;
  • список установленных приложений;
  • настройки темы;
  • история вызовов;
  • настройки приложений (например, настройки электронной почты и экрана блокировки);
  • сообщения (SMS-переписка);
  • фотографии.

Управление резервным копированием приложений, SMS и медиа-файлов осуществляется в меню «Настройки» – «Система»- «Резервное копирование», см. экран 1.

 

Резервное копирование
Экран 1. Резервное копирование

Стоит учесть, что несмотря на то что список приложений сохраняется, сами приложения не сохраняются. Вместе с тем каждое приложение можно восстановить, щелкнув на его названии в списке приложений. Кроме того, можно удалить все резервные копии, выбрав пункты «Дополнительно» – «Удалить», см. экран 2.

 

Резервное копирование приложений
Экран 2. Резервное копирование приложений

Текстовые сообщения

В Windows Phone 8 резервные копии SMS-сообщений создаются автоматически. В этой версии операционной системы гораздо больше возможностей для управления резервным копированием. Настройками можно управлять, нажав пункт меню SMS. Появятся параметры, которые можно включить либо выключить, см. экран 3.

 

Настройка SMS
Экран 3. Настройка SMS

Фото и видео

Отдельно мы можем настроить резервное копирование фото- и видеоматериалов. Учтите размер трафика. Для выполнения резервирования в списке приложений коснитесь пунктов «Настройки» — «Резервное копирование». Далее коснитесь пункта «Фотографии» и выполните одно из следующих действий, см. экран 4:

  • выберите команду «Не отправлять», чтобы отменить сохранение фото и видео в «облаке»;
  • коснитесь пункта «Высокое качество», чтобы сохранять фото и видео в экономичном по объему хранения в SkyDrive разрешении;
  • коснитесь пункта «Высшее качество», чтобы сохранять фото и видео в самом высоком разрешении.

 

Настройка фото и?видео
Экран 4. Настройка фото и? видео

Чтобы автоматически загружать видео и фотографии высокого качества, вам потребуется подключение к Wi-Fi. Если выбрать параметр «Максимальное качество», будут загружаться только фотографии с разрешением 10 мегапикселов или меньше. Чтобы загружать с телефона большие фотографии, необходимо использовать «Проводник» (если у вас компьютер с Windows) или приложение Windows Phone для Mac (если у вас Mac).

Восстановление из резервных копий

Восстановление сохраненных резервных копий при настройке нового устройства Windows Phone — это очень просто. Если параметры были настроены правильно и личные данные были автоматически сохранены в «облаке», восстановить все будет довольно легко. Для начала придется зарегистрироваться с учетной записью Microsoft, используемой на предыдущем смартфоне с Windows Phone.

Выполните следующие шаги для восстановления данных из резервной копии на новом Windows Phone:

  1. Зарегистрируйтесь с учетной записью Microsoft, используемой для создания резервной копии.
  2. Следуя подсказкам, выберите нужную резервную копию и нажмите кнопку «Далее», чтобы продолжить процесс.
  3. Ранее сохраненные данные начнут загружаться (продолжительность зависит от скорости соединения и размера сохраненной копии), затем можно ввести пароли для восстановленных учетных данных или настроить восстановление электронной почты и учетных записей в социальных сетях позже.

Windows Phone будет по-прежнему использовать настройки по умолчанию для стартового экрана, настройки сетей Wi-Fi не будут восстановлены, и приложения должны быть установлены вручную (просто нажимайте на каждое приложение в списке и оно начнет устанавливаться).

Восстановление информации на устройстве Windows Phone

Следует отметить, что на смартфоне под управлением Windows Phone 8 существует несколько вариантов восстановления. Если смартфон подключен кабелем к порту USB вашего компьютера, то для чтения доступен только протокол MTP (media transfer protocol). При использовании данного протокола доступны только минимальная общая информация и медиа-файлы (фотографии, видео, музыкальные файлы). При подключении по протоколу Bluetooth есть возможность прочитать список контактов и журнал звонков. Если же удается получить доступ к резервной копии, то доступны, соответственно, SMS, контакты и заметки.

Подключение по кабелю

Для анализа данных на смартфоне под управлением Windows Phone 8 воспользуемся программным обеспечением «Мобильный криминалист» от ЗАО «Оксиджен Софтвер» (www.oxygen-forensic.com/ru/), см. экран 5.

 

Главное окно Oxygen Forensic Suite
Экран 5. Главное окно Oxygen Forensic Suite

Выбираем пункт меню «Подключить устройство» и подключаем по USB-кабелю наш смартфон. Далее можно либо провести автоматическое обнаружение либо указать марку телефона вручную, см. экран 6.

 

Обнаружение устройств
Экран 6. Обнаружение устройств

На следующем этапе вы, как эксперт, должны будете указать номер дела, номер вещественного доказательства, фамилию эксперта, фамилию владельца и его электронный адрес, см. экран 7.

 

Заполнение информации о вещественном доказательстве
Экран 7. Заполнение информации о вещественном доказательстве

В результате нажатия кнопки «Далее» запускается мастер извлечения данных. Он выводит список данных, и нужно указать, какие данные мы хотели бы извлечь, см. экран 8.

 

Выбор разделов для извлечения
Экран 8. Выбор разделов для извлечения

После этого запускается процесс извлечения данных из устройства. По окончании извлечения данных вам будет предложено либо записать данные в архив, либо открыть устройство для дальнейшей работы. С моей точки зрения гораздо правильнее записать данные в архив и в дальнейшем все манипуляции проводить с архивом, дабы сберечь оригинальное доказательство. Выполняемая по умолчанию операция – «Открыть устройство» (см. экран 9).

 

Извлечение данных завершено
Экран 9. Извлечение данных завершено

По окончании данной процедуры вы можете сформировать отчет в виде pdf-файла.

Как только вы завершили предыдущий этап, можно посмотреть, а что же собственно вы извлекли и что можно получить на основе извлеченных данных.

Как показано на экране 10, мы можем просмотреть «Ленту событий» и «Файловый браузер устройства». В ленте событий мы можем увидеть дату и время появления тех или иных файлов (в данном случае фотографий). Если мы выберем файловый браузер, то сможем посмотреть содержимое тех или иных папок на телефоне. Как видите, ни содержимое телефонного справочника, ни список звонков (или SMS) мы просмотреть не можем.

 

Данные, полученные с устройства
Экран 10. Данные, полученные с устройства

Восстановление информации из «облачной» резервной копии

Для того чтобы получить доступ к резервной копии, как говорилось выше, необходимо иметь соответствующую запись Microsoft и пароль. В главном окне программы «Мобильный криминалист» выбираем «Импорт архива» – «Импорт Windows Phone из «облака»», см. экран 11.

 

Импорт данных Windows Phone из «облака»
Экран 11. Импорт данных Windows Phone из «облака»

При этом опять-таки запускается мастер извлечения данных. В окне мастера вы вводите имя учетной записи Windows Live и пароль. При вводе пароля он отображается в явном виде. Далее начинается процесс извлечения данных. После извлечения данных выбираем пункт «Открыть устройство и провести анализ». Итак, мы имеем большой объем данных для анализа, в том числе телефонную книгу, объединенные контакты и сообщения. Следовательно, можем построить граф связей, см. экран 12.

 

Сообщения SMS
Экран 12. Сообщения SMS

Таким образом, помимо исследования самого телефона нам для проведения расследования обязательно нужно выполнять исследование резервной копии этого телефона.