Меню
Восстановление данных24 часа в сутки 7 дней в неделю
+38 044 362-05-12
501-60-67
Обратный звонок
сделать заявку

Тестирование программы ADR512

Целью данного материала является получение дополнительной информации о возможностях, специфике, уникальности программы ADR512 (Android Data Recovery). Ранее мы уже знакомили с данным программным обеспечением: http://512byte.ua/articles/programma-android-data-recovery.html.

Настало время практических испытаний. Работы проводились совместно со специалистами компании

Gross (https://g-ross.com.ua/). Компания 512 БАЙТ выражает свою благодарность Gross за проведенное исследование.

Суть эксперимента пошагово:

1. Были взяты два устройства Lenovo A319 (OS version 4.4.2) и Xiaomi Redmi Note 3 Pro (OS version 6.0.1).

2. На Lenovo A319 установлены заводские настройки.

3. Для Lenovo A319 получены Root-права, чтобы иметь полный доступ к памяти (Hynix eMMC H4G2a) устройства.

4. Сняли дамп памяти Lenovo A319. Размер полученного образа 4Гб.

5. Образ из п.4 проверили Belkasoft Evidence Center Ultimate. В отчете раздел Messages отсутствует.

6. В Google Play выбрали messenger “imo (http://imo.im/)”и установили на оба устройства. Критерии, почему было выбрано данное приложение, это количество скачиваний более 100 млн.  Специально не рассматривали Viber, WhatsApp и т.д.

7. Между двумя устройствами в imo была произведена переписка. Ниже на фото с Xiaomi Redmi Note 3 Pro

8. Опять сняли дамп памяти Lenovo A319.

9. Для образа п.8 создали отчет при помощи Belkasoft Evidence Center Ultimate. Появился раздел Messages . Результат на фото

10. Приложение imo было удалено с Lenovo A319.

11. Сняли дамп памяти Lenovo A319.

12. Для образа п.11 создали отчет при помощи Belkasoft Evidence Center Ultimate. Раздел Messages отсутствует. Вероятная причина потери сообщений, это то, что данное программное обеспечение исследует непосредственно файл базы данных SQLite (db).

13. Для дампа с п.11 запустили ADR512. Время работы программы с выбранными настройками составило менее двух минут. Результат ниже на фото

14. Проверили образ из п.11 Х-ways forensics 19.2. Результат на фото

Как видно, если задать критерий поиска (сигнатуру) то можно найти вхождения нужных сообщений.

Итоги:

  • Как показало данное исследование, ADR512 в поиске удаленных сообщений имеет преимущество перед приложениями, которые работают непосредственно с файлами баз данных
  • Если знать содержание сообщения его можно найти в любом Hex-редакторе. Однако остается вопрос трактовки полей.
  • В случае когда неизвестен контекст поиска или количество сообщений велико необходим принципиально другой подход. ADR512 находит сообщения вне зависимости от содержания и количества записей

P. S. В данном материале мы, ни в коем случае, не отзываемся негативно о программном обеспечении Belkasoft Evidence Center Ultimate и Х-ways forensics 19.2. Рассмотрен один частный случай.

P. S. 2. Особо внимательные читатели заметят расхождения времени в переписке и отчете. Данный факт возник, по причине “просто забыли установить время на Lenovo A319”.