首页技术服务知识库常见问题

苹果手机取证常见问题解答

2013-09-05

随着苹果系列产品的用户群不断壮大,对其进行数据检验的需求也不断增加。瑞源公司针对目前对苹果手机取证过程中存在的误区及常见问题进行解答,同时也欢迎用户提出更多的问题,以便持续更新。
1. iOS 5和iphone5是一回事么?
这个问题可能能把人问得哭笑不得,但是很不幸,确实有这样的问题存在,iOS是操作系统,5是操作系统版本号,iphone5是硬件,简单的说就是手机。目前有些初级的“骗子”故意混淆,拿iphone4升级成更高的操作系统版本号如iOS5,iOS6,然后说看能做5,6的物理啦!!

2. 这台iphone可以做“物理”么?
这是一个很模糊的问题,多数情况下,问问题的人其实是想问iphone可以以DFU模式模式进行数据获取么,答案是iphone4以及iphone4之前可以,从iphone4S开始,不可以。简单的说从4S开始苹果采用了A5、A6芯片,原先在iphone4使用的A4芯片上存在的bootLoader的漏洞已经不存在。目前,“没人能做”或者准确的说,“没外人能做”。

3. iOS 设备删除了一张照片/图片,能恢复么?
从iOS 4 开始,对未分配空间中的数据做了军用级加密处理,目前没有技术手段可以破解,无法恢复,但是需要注意的是,如果某个应用程序的图片是存在数据库里的,这样的图片被删除后,并未进入未分配空间,是存在恢复的可能的,对一个调查人员来讲,必须要首先分析清楚,应用程序的用户数据在iOS上是如何存储的。

4. iphone不能物理就无法数据恢复么?
当然不是,手机取证中物理和逻辑的概念有所差别,在手机取证中,大量的信息是存储于Sqlite数据库文件中,只要拿到了原始的数据库文件,就能恢复,这方面MPE+具备超强的能力,典型的数据类型是短信,通话记录,联系人等。

综合3,4,5点,对于iOS而言,讨论某种数据能否恢复,要结合获取方式,文件存储方式,以及系统删除方式等几个方面共同讨论才有意义。

5. 对iOS设备而言,物理获取和逻辑获取的差别是什么?
物理
 
逻辑
 
通常物理方式能得到更多的数据,上图是同一部手机,物理方式取得6个应用程序的数据文件,逻辑只取得4个,因为逻辑方式采用的就是itunes Backup的协议,一些程序不是开放权限,所以逻辑方式无法取得,这是由程序当初的开发人员在设计时确定的。

此外如果细致观察,会发现文件夹的命名方式也有所不同,这就涉及相对底层的iOS数据存储及管理,这里就不展开讨论了。

6. 如果一部iphone4S或者iphone5,有密码,是否就完全无法检验了呢?
如果这部手机和计算机同步过,会存在一个lockdown文件,如果有了这个文件,就可以提取数据。不同操作系统存储路径如下:
Windows 7 - C:\ProgramData\Apple\Lockdown
Win XP -C:\Documents and Settings\All Users\Application Data\Apple\Lockdown
Mac - /private/var/db/lockdown

所谓lockdown文件是iOS设备与电脑之间建立信任的授权文件,与密码完全无关,就如同一个后门,形式上是PLIST文件,一个电脑和几个iOS设备同步过,就会产生几个PLIST,如下图,这台计算机和两个iOS设备数据同步过
 
目前有些竞争对手在打擂,宣传时,也是利用这个方式做手脚,找个iphone4S或者5设定了密码,他自己的电脑以前和手机用iTunes同步过,存在Lockdown文件,他当然能提取,别人的电脑没有,当然不能,其实只要把他电脑上的对应文件拷贝过来,谁都能。
 

下一篇: