【文章来源:效率源科技(微信号)】微信号:xiaolvyuantec
编者按: 在《技术视界》前13期中,数据恢复四川省重点实验室科研人员讲解了手机音频文件提取、SQLite数据库文件恢复、手机APP取证脚本编写以及防御手机APP窃密等主题,本期重点介绍iPhone手机(越狱和未越狱)数据提取的多种方式,可以有效提取各类应用数据,包括文字、图片、声音、视频等各种多媒体信息。
随着移动通信技术的不断发展,手机也逐渐成为人与人之间不可或缺的联系工具,几乎人人都会携带一部甚至多部手机。手机中各种APP会记录下大量信息,包括聊天、位置等,这些信息很可能成为警方破案有效的辅助证据,所以对手机数据的提取很有必要。
一、未越狱手机数据的提取 未越狱手机主要通过备份和沙盒提取方式。目前8.3以上的系统不再支持沙盒提取,而且也比较简单,故不再拿出来讨论。下面只针对备份方式进行简要说明。
1、数据备份 备份可通过两种方式实现: (1)通过iTunes直接备份。备份路径为XP:C:\Documents and Settings\用户名\Application Data\Apple Computer\MobileSync\Backup;WIN7及以上:C:\Users\用户名\AppData\Roaming\Apple Computer\MobileSync\Backup。
如图3所示,打开备份目录可以看到一大堆40位16进制数组成文件名的文件,这些文件就是APP的数据文件。面对这些符号复杂的文件,怎么才能知道这些文件是哪个APP产生的数据呢?不急,图片下面有几个明文的文件,我们可以在这几个文件中找到想要的一些信息。
(4)Manifest.mbdb 这个是最重要也是最复杂的文件,记录了所有的备份文件信息,在这里可以找到文件与app的对应关系及文件路径。
如果想要还原所有备份文件,用上面的方法显然不行的,文件可读性差,分析耗时耗力。但是,如果我们知道了文件的结构,就可以通过代码来实现对该文件的解析,减少人工成本。下面将介绍Manifest.mbdb的具体结构。
根据上表显示的文件结构可以依次还原所有备份文件。当然,如果只需要解析指定文件,并且知道文件路径与所在域(比如短信,域名、路径都是固定的),那么就可以直接根据SHA1值找到备份文件并提取数据。如果是解析未知文件,如路径不固定、域名未知等,要提取数据,就必须解析Manifest.mbdb文件。
二、越狱手机数据的提取 手机越狱后相当于获取到了系统的最高权限,可以直接访问系统中的应用数据。下面简单列举几个常用目录: 1、系统应用目录 ①/private /var/ mobile/Media /DCIM/ 照片目录 ②/private/var/ mobile /Library/SMS/ 短信目录 ③/private /var/root/Media/EBooks/ 电子书目录
2、用户应用目录 用户安装应用数据存放在/private/var/mobile/Containers/Data/Application/下。
下面,以某金融类APP数据为例,详细讲解。该APP的路径为:/private/var/mobile/Containers/Data/Application/3ADDACBE-7FDB-4726-AC47-4F1EFD0702B5/。
我们怎么知道这是哪个应用的数据呢?可以通过以下方法寻找线索。
如图9中红色框所示,第二个框“MCMMetadataUUID”对应的值及为目录中的那段哈希值。第一个框“MCMMetadataIdentifier”对应的值则为应用程序包名。知道这些信息后,我们就可以对指定应用进行解析,提取需要的数据。
总结: 通过备份方式虽然能提取未越狱手机中的数据,但毕竟是没有拿到最高权限的,所以还是有部分数据不能提取出来。而且,这个过程必须先全部备份再解析相应文件,增加了数据提取的时间。而越狱手机拿到了最高权限,直接读取需要的文件,减少了备份这个步骤,更加快速的实现数据的提取。 目前,市面上有一部分取证设备采用了这些方法,效率源的MTF手机可视化行踪取证系统就是一个很好的例子,他将这些方式有效结合,能更加快速完成“越狱”和“非越狱”手机数据的采集和判断,包括聊天、行踪、购物、账号等各类应用信息以及已删除的动作行为信息。
| 
/3 
发表于 2016-6-28 15:07:25
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
收藏
分享
