首页技术服务技术资讯

【技术交流】手机取证听我说——苹果手机检验实测

2017-06-07

瑞源公司作为美国Blackbag公司的国内独家合作伙伴,基于Blackbag软件推出的EDEC云算6230 MAC检验工作站广受国内用户关注。本文将使用该工作站对Mac/iOS系统取证进行实测说明。

目前,市场上有多款针对iOS系统进行数据恢复及数据分析的工具,但APP中特殊信息的提取与分析是案件检验中面临的难题,而APP中特殊信息能够为案件的侦办提供重要线索。EDEC云算6230恰恰在APP特殊信息的提取分析方面具有自身独特的优势。

特殊信息

  • 邮件客户端最后一封邮件的接收时间

  • 用车软件最后一次约车地点和时间

  • APP登陆的用户名

  • APP内置的联系信息

     


经研究发现iOS系统中的APP有着基本相同的结构,其中的plist文件隐藏的很多数据亦是可以为案件提供侦办思路。 EDEC云算6230正是以挖掘更多APP数据为出发点,将iOS系统中的APP结构进行解析,从而找到更多对案件侦办有利数据。

 

手机检验实测

检验手机:iPhone 6 plus

系统版本:iOS10.3.2


数据提取完毕,提供完整的统计界面


 

以该手机为例,可将APP的架构进行解析,将其中更多的数据进行展现,并且每一次检验都会在开始时有完整的统计界面。

 

APP架构解析


 

可解析上一次使用APP的相关事件地点信息

 

可解析APP中记录的默认联系人信息


 

可解析出APP登录使用的电话号码信息

解析出与机主号码不一致的信息

就能为案件侦破提供线索

可解析邮箱客户端中邮件接收及登录记录

某邮箱客户端APP记录的上一封邮件接收时间,代码经换算后解析为2017年5月31日19:14:43星期三
 

某邮箱客户端APP记录的登录信息


 

可解析用车软件APP记录

某专车APP记载的上一次约车地点


 

近期还将推出《EDEC云算6230MAC检验工作站实测-电脑篇》,针对Mac OS电脑的数据提取和分析能力进行介绍,敬请期待!