2024年3月20日发(作者:)
中国人民公安大学学报
(
自然科学版
)
2020
年第
4
期
No.
4
2020
Journal
of
Peopled
Public
Security
University
of
China
(
Science
and
Technology
)
总第
106
期
Sum106
苹果手机
IOS
系统
3
种取证方法测评对比研究
刘枧
▽
,
邱平
3
,
苏顺华
3
(
1.
贵州警察学院计算机科学系
,
贵州贵阳550005;
2.
公共大数据国家重点实验室
,
贵州贵阳550025
;
3.
贵州省公安厅网络安全保卫总队
,
贵州贵阳550001)
摘要通过公安电子数据取证的具体实例
,
从浏览器历史记录
、
聚合位置信息
、
钥匙串
(
Keychain
)
、
日志文件和输
入法
、
即时通讯
5
个维度
,
使用普通的不加密备份取证
、
加密备份取证和逻辑镜像取证
3
种不同的取证方法
,
对同
一部苹果手机
ISO
系统进行测评实战比对
。
通过对比
3
种取证方法提取的数据量
,
阐明电子数据取证方法对取证
数据和案件侦查的影响
,
并详细分析各类数据对案件侦查的作用
。
关键词
苹果手机
;
IOS
系统
;
取证方法
;
测评对比
;
备份
中图分类号
D918.
2
文献标志码
A
A
Comparative
Study
on
the
Evaluation
of
Three
Forensics
Methods
of
Apple
Mobile
ISO
System
LIU
Jian
1
,
2
,
QIU
Ping
3
,
SU
Shunhua
3
(1.
Department
of
Computer
Science
,
Guizhou
Police
College,
Guiyang
550005
,
China
;
2.
State
Key
Laboratory
of
Public
Big
Data
,
Guiyang
550025
,
China
;
3.
Network
Security
Corps
,
Public
Security
Department
of
Guizhou
Province
,
Guiyang
550001,
China)
Abstract
:
Through
the
concrete
examples
of
public
security
electronic
data
forensics
,
from
the
five
di
mensions
of
browser
history
,
aggregate
location
information
,
keychain
,
log
file
and
input
method
,
instant
messaging
,
using
three
different
forensics
methods
,
i.
e.
common
unencrypted
backup
forensics
,
encrypt
ed
backup
forensics
and
logical
image
forensics
,
the
same
Apple
Mobile
ISO
system
is
evaluated
and
compared
in
actual
combat
By
comparing
the
amount
of
data
extracted
by
these
three
methods
,
this
paper
expounds
the
influence
of
electronic
data
collection
methods
on
evidence
collection
data
and
case
investi
gation
,
and
analyzes
all
kinds
of
data
in
detail.
Key
words
:
Apple
Mobile
;
ISO
system
;
forensics
method
;
evaluation
comparison
;
backup
0
引言
轨迹和活动情况
。
在涉网案件的侦办过程中
,
从嫌
疑人手机提取到的电子数据
,
不仅可以找到与案件
在移动互联网技术不断发展的今天
,
移动智能
相关的重要信息
,
还能通过对手机数据的深度研判
,
刻画出犯罪嫌疑人的犯罪动机及心路历程
,
往往对
终端已成为人们生活中必备的工具
,
人们的吃住行
消乐都可以依托智能手机完成
。
使用智能手机时,
案件的侦破以及定罪量刑起着极其关键的作用
。
对
侦破案件
、
发现犯罪动机以及研究此类案件特点有
手机中留下的各种数据
,
可以刻画出持机人的生活
收稿日期
2019-02-04
作者简介
刘枧(
1963
—
)
,
男
,
湖南邵东人
,
副教授
、
系副主任
。
研究方向为公安大数据应用
、
计算机数学建模
。
:gzp-
cliujian@
163.
com
・
62
・
刘
枧等
:
苹果手机
IOS
系统
3
种取证方法测评对比研究
着非常重要的作用
。
不加密备份
、
加密备份和逻辑镜像这
3
种取证方法
随着存储芯片加密技术在智能终端中的广泛运
提取数据的差别
。
目前对于苹果手机的取证
,
一般采用备份数据
用
,
早期在涉网案件中遇到的
IOS
系统和
Andriod
系统设备取证过程中使用的
“
物理镜像
”
法
,
已经无
法发挥作用
。
目前
,
对
IOS
系统涉案设备的取证中
法和逻辑镜像法
。
镜像分为物理镜像和逻辑镜像
,
物理镜像是所用存储的一个副本
,
包含了所有数据
,
常用的方法为逻辑镜像提取
、
加密备份提取和不加
密备份提取
3
种方法
。
但是使用不同的方法提取到
的数据量也会有很大的差距
,
本文主要针对涉网案
但是现在存储机制使用了全盘加密
,
因此对苹果手
机做物理镜像没有任何实际意义
;
逻辑镜像是指针
对使用空间进行的镜像
,
它不仅包括了应用程序的
数据,还包括了系统日志文件
、
应用程序日志等重要
信息
。
而备份仅仅是对应用程序数据的备份
,
不包
件侦办过程中遇到的
IOS
设备取证中常用的
3
种方
法进行了分析研究
。
1
电子数据
电子数据是案件发生过程中形成的
,
以数字化
形式存储
、
处理
、
传输的,能够证明案件事实的数据
。
电子数据勘查取证
,
是指侦查人员运用科学的取证
技术
,
对犯罪有关的电子数据进行收集
、
提取
、
分析
、
固定的侦查活动
。
在侦办涉网案件过程中
,
常常需
要对包括移动智能终端在内的涉案电子设备进行
电子数据勘查取证
,
苹果
、
安卓等智能手机是涉网
案件中常见的涉案智能终端
。
对涉案智能终端进
行勘查取证
,
一般需要对手机短信
、
通话记录
、
即
时通讯
、
上网历史记录
、
移动支付交易记录
、
手机
相册
、
电子文档
,
以及其他手机
APP
的使用记录等
与案件相关的电子数据进行提取固定
,
为案件的
侦破提供证据支撑
,为审判过程中定罪量刑提供
参考依据
。
在侦办信息案件中
,
最重要的便是对电子数据
的查证
,
电子数据是查清信息案件情况的关键要素
,
是认定犯罪事实最重要的证据
。
电子数据的来源包
括犯罪时可能使用的服务器
、
电脑
、
手机
、
移动存储
设备等电子设备
。
2
苹果手机取证技术原理
IOS
是由苹果公司开发
,
并于
2007
年
1
月
9
日
发布的移动操作系统
,
最初是设计给
iPhone
手机使
用的
,
后陆续沿用至
iPod
touch
、
iPad
以及
Apple
TV
等苹果设备上
。
用户使用
IOS
设备时
,
需要注册
Apple
账户
ID,
该账户可以关联多台
“
苹果
”
设备
,
用
于存储照片
、
视频
、
文档
、
音乐
、
App
等内容
,
并在各
种设备上同步保持更新
。
随着科学技术的发展
,
芯
片加密的应用越来越广泛
,
早期通过物理镜像
,
直接
读取芯片进行取证的方法
,
由于加密机制的出现已
经失去了意义
。
我们通过具体实例,分析比较一下
括日志和软件配置等信息
。
因此从提取数据量来
说
,
肯定是物理镜像不仅大于逻辑镜像
,
而且大于备
份数据
。
逻辑镜像是提取设备的完整文件系统
,
可以访
问用户的数据
,
也就是说
,
提取的是包含在
iTunes
备份中的内容
。
从某种层面上来说,我们无法恢复
已删除的文件
,
但是由于
SQLite
数据库的空闲表和
未分配的空间
,
我们还是可以恢复已删除的记录
,
包
括短信和其他聊天记录
,
浏览历史记录等
。
使用手机取证系统进行逻辑镜像提取的前提是
手机可以连接到电脑
PC
端
,
逻辑提取是访问存储
在
IOS
设备数据的最快
、
最简单的方式
,
能进行逻辑
提取的工具有很多
,
有商业工具也有免费工具
,
而多
数这类工具都要求设备能够解锁
,
或者能提供信任
计算机上面已有的
Plist
文件
;
使用内部配对记录管
理
,
则用给定的主机
ID
对设备进行解配
。
任意一台
与
IOS
设备同步过的计算机都存储了大量的信息
,
这些计算机通常称为主计算机
,
可以具有历史数据
,
可以用作绕过屏幕解锁的信任文件
。
iTunes
备份在案件调查中
,
可以通过搜查令以
取得嫌疑人的计算机
,
从而得到备份和
lockdown
文
件
。
IOS
备份文件取证主要涉及分析由
iPhone
、
iPad
、
iPod
touch
或
Apple
Watch
生成的离线备份
,
Apple
Watch
的数据将包含在同步过的
iPhone
备份中
。
当
IOS
设备的物理提取
、
文件系统提取不可行
,
且逻辑提取无法满足取证需求时
,
iTunes
备份提取
也能发挥作用
。
在这种情况下
,
调查取证人员只需
要制作设备的备份并使用取证软件对其进行分析
。
因此调查取证人员必须完全理解备份过程和所涉及
的工具
,
以确保他们能够制作取证备份
,
且不让其他
数据对
iTunes
中的数据造成污染
。
iTunes
是苹果公司推出的连接
IOS
设备和电脑
主机的一款应用软件
,
其
“
备份
”
功能可以从
IOS
设
-
63
-
刘
枧等
:
苹果手机
IOS
系统
3
种取证方法测评对比研究
备获取大部分数据
,
如通话记录
、
上网记录
、
即时通
份来搜索遗留的历史信息
。
由于备份可能使用的是
iTunes
或
iCloud,
且同一设备有可能存在多个备份
。
讯
、
手机钱包
、
支付类应用信息等
,
所以经常被取证
人员用做
IOS
设备的数据提取
。
iTunes
提供加密备
份选项
,
但默认情况下同步
iPhone
时
,
它就会创建
一个未加密的备份
。
加密备份在解密后
,
可以掌握
调查取证人员必须对每个备份进行取证分析
,
寻找
与案件相关的痕迹与线索
。
需要注意的是
,
通常在
IOS
设备连接到计算机
时
,
iTunes
会自动开始进行同步过程
。
为避免
IOS
存储在
IOS
设备上的额外数据的访问权限
。
用户常常会制作备份文件
,
以防在设备损坏或
丢失后损失数据
。
因此
,
我们既可以为设备创建一
设备与计算机之间意外的数据传输
,
在把设备连接
到取证计算机前,请务必取消自动同步功能
。
加密
备份和不加密备份的区别如图
1
所示
。
个全新的备份进行分析
,
也可以利用现有的
IOS
备
图
1
加密备份和不加密备份
当我们连接上
IOS
设备并打开
iTunes
,
点击立
即备份
,
会弹出如图
1
所示的对话框
,
弹出是否加密
3.1
浏览器历史记录
浏览器的历史记录
,
记录了机主使用手机上网
留下的痕迹
,
这是反映机主内心世界的重要指标
,
这
备份
,
如果选择加密备份
,
会提取到
“
健康
”
和
“
Homekit
”
等更多数据
,
这是因为这两种备份数据加
个信息往往在案件侦查中能够起到非常重要的作
密方式不同
。
在加密备份中数据是基于备份密码
用
。
最经典的案例就是
2004
年云南大学学生马加
爵杀人案
,
当时马加爵与同学因琐事积怨
,
从而产生
进行加密
,
与当前硬件无关
,
在取证或者仿真过程
中将数据还原到任何一台设备都不影响数据的解
报复杀人心理
,
随后购买了作案工具
,
在宿舍里相继
残忍杀死
4
名同学后潜逃
。
手机的浏览器历史信息
析
;
而在不加密备份中
,
数据的加密是基于本机的
硬件特征来进行加密
,
我们在取证或者仿真的过
程中需要将备份还原到其他设备上
,
就会造成数
据的缺失
,
这就是加密备份与不加密备份提取数
记录了机主的上网行为
,
可据此分析机主使用手机
上网的目的和动机
。
比较一下
3
种取证方式提取的浏览器历史记录
据不同的原因
。
3
苹果手机
3
种取证方法实战测评对比
数据
,
如图
2
所示
,
加密备份和不加密备份提取的数
据都是
16
条
,
但是逻辑镜像提取了
31
条数据
,
比通
通过公安电子数据取证的具体实例
,
从
5
个维
度对不加密备份取证
、
加密备份取证和逻辑镜像取
证这
3
种取证方式提取的数据进行测评实战比对
,
过备份方式获取的数据多了
15
条
。
使用普通的备份提取方式无法提取手机百度
App
的数据
,
而在整个历史记录里边
,
本案中刚好从
手机百度这个记录中发现了和案件相关的数据信
并详细分析各类数据对案件侦查的作用
。
息,为案件的研判提供了很好的依据
。
-
64
•
刘
枧等
:
苹果手机
IOS
系统
3
种取证方法测评对比研究
图
2
浏览器历史记录取证数据对比
3.2
聚合位置信息
位置记录
,
从而大致确定该机主的活动范围
,
如果结
所谓聚合位置信息
,
简而言之就是把所有手机
里的位置信息全部汇聚在一起进行展示
,
这些信息
包括导航的位置信息
、
WIFI
的经纬度
、
照片的
GPS
位置
、
微信或
聊天中发送的位置
、
运动软件记录
合时间节点数据就能得到更多对案件侦查有价值的
线索
。
如图
3
所示
,
逻辑镜像提取聚合位置信息
12
995
条数据
,
而通过不加密备份
、
加密备份这两种
的位置等等
。
将手机里的这些位置信息做一次集中
整合
,
就可以知道该手机到过
、
搜索过或者接收过的
备份方式都只提取到
7
条数据
,
相差近
13
万条数
据
,
获得的数据差距是非常大的
。
图
3
聚合位置信息取证数据对比
本案通过位置聚合信息功能
,
侦查人员很快锁
码
、
认证令牌等重要的敏感信息
。
因此用户即使将
APP
删除
,
钥匙串
Keychain
也会保留有关的配置信
定了该组织的活动范围,缩小了包围圈
,
为案件的进
一步侦查提供了更好的思路
。
3.
3
钥匙串
(
Keychain)
息
,
下次用户再装
APP
时
,
系统还能从
Keychain
中
获取数据
。
如图
4
所示
,
逻辑备份除了提取包括证
书
、
通用密码等
347
个
Keychain
数据外
,
还可以提
对于苹果手机
IOS
系统取证来说
,
钥匙串
(
Keychain
)
是非常重要的数据信息
,
因为钥匙串是
IOS
系统的密码管理系统
,
也可以说是
IOS
设备中
取到备份文件的明文密码
,
这是非常重要的数据信
息
;
而加密备份只提取到
149
个
Keychain
数据
,
不
一个安全的存储容器
,
一般是用来保存用户名
、密
-
沪
钥匙串
(149)
加密备份提取到的钥匙串
Keychain
数据为
0
。
回
也书签
(15)
S
沪
钥題串
(347)
|
0£
所
^35(340)
0
证书⑶
殛昭息
(7)
囱
位置異合
(7)
B
里犍⑼
.
聲谿
(306)
创郭
(4)
-
的网
塔密码
_
⑨酹
(27)
|总血分
逻辑镜像
直
Wifi
⑷
Q
Token
(1)
3
Safari
⑼
>
Cookies
(644)
S)
但日历
(90)
因庆
搜素项目⑺
$
f
历史记录
(16)
司
Wifi
⑸
b
Token
(1)
©劇⑴
❹
Safari
(15)
国齢蜩
(1)
图
4
钥匙串
(
Keychain
)
取证数据对比
-
65
-
刘
枧等
:
苹果手机
IOS
系统
3
种取证方法测评对比研究
在进行数据分析中
,
从通用密码里找到了嫌疑
而且现在大多数智能输入法都会根据用户输入的频
次来创建个性化的输入
,
这使我们在取证实战中往
人的邮箱账号和密码
,
并且从邮箱里发现了相关涉
案信息
。
因此充分利用好钥匙串
Keychain
的数据
信息
,
对破解密码和情报挖掘有着非常重要的作用
。
3.
4
日志文件和输入法
往能发挥出奇兵的作用
。
在一起赌博案件侦查中,
侦查人员在抓获犯罪嫌疑人时
,
犯罪嫌疑人已经对
手机进行了全面的清理
,
没有任何证据证明其与案
日志文件记录了对于软件的安装卸载
,
文件的
打开和关闭时间
,
文件接收路径
,
连接过的
WIFI
等
信息,这对于判断案件性质
、
指明侦查方向
、
确定案
件相关
,
但是侦查员通过提取了他的输入法词典
,
从
词典中发现了大量与案情有关的赌博词汇
,
以此为
依据
,
随即对他展开猛烈攻势,最终突破犯罪嫌疑人
发时间等有着非常重要的意义
。
如在一起纵火自杀
案件的侦办过程中
,
在大量证据确实的情况下
,
通过
的防线
,
使其交代了犯罪事实
。
如图
5
所示
,
逻辑镜像提取了日志文件
14
万余
提取手机与
WiFi
连接断开的时间为依据
,
非常精确
地确定了案发的时间
,
为案件侦破提供了重要的数
条数据
,
并且还提取了机主输入法的用户词典
;
而不
加密备份
、
加密备份这两种备份方式仅仅提取了
4
据信息支撑
。
万余条数据
,
两者相差了近
10
万条数据
。
现在很多人习惯于个性化设置自己的输入法
,
回甸
轴入法⑴
卜用户词典⑴
E)
鸟日志
(142840)
@
Cookies
(644)
•
H
日历
(90)
鸟应日志
(852)
[>Wi-F
旧志
(812)
-
.
妄果飜
(149)
•
鸟文
件日志
(14117
”
認盼⑴
©步数
(74)
鸟开
机日志⑷
-剜息
(39/1"
0
Wi-Fi
©5^8(39/16)1-
逻辑镜
卜步行和跑步
图
5
日志文件和输入法取证数据对比
3.
5
即时通讯
在这次实战测评对比中
,
如图
6
所示
,
逻辑镜像
对于手机取证来说
,
即时通讯的重要性再怎么
强调都不过分
,
它不仅可以作为案件侦破的直接线
提取了
记录
1
万余条数据
,
而加密备份
、
不加密
备份两种备份方式只提取了
记录
9
千余条数
据
,
逻辑镜像比备份方式多提取
记录
800
余条
数据
。
索
,
固定后作为定罪量刑的证据
,
还可以为案件侦查
提供方向和思路
。
♦10^(2108/223)
-
。删消忌⑴
心/
444
®
-10^(2108/223)
j
BQQ
(9669/4210)
—
伽砂
,..
(134/53)
(1974/1
70)
BQQ
(9669/4210)
-
|jm
(
22)
卩耕
(22)
&叔
*)5...
(9647/4210)
图
6
即时通讯软件取证数据对比
|
嬉锹
(22)
4
结语
Gmail
Skype
、
系统邮件、
、
百度地图
、
旺信
、
易
信
、
uc
浏览器
、
手机百度
、
百度
、
携程
、
人人
、
potato
、
soul
、
遇见
、
聊天宝
、
百度云
、
dropbox
、
支付宝
、
谷歌地
苹果手机数据提取
,
大多数
App
用户数据不支
持备份提取
,
个别
App
备份数据不全
,
很多
App
通
图
、
signal
、
mqqi
、
百度贴吧等的运用
,
也只能通过镜
过备份提取仅能解析出账号信息
,
没有其他历史记
录
。
对于
、
telegram
、
telegram
x
、
淘宝
、
闲鱼
、
・
66
・
像方式提取数据
,
无法通过备份方式提取数据
。
通过多次验证和研究发现
,
苹果手机
IOS
系统
刘
枧等
:
苹果手机
IOS
系统
3
种取证方法测评对比研究
逻辑镜像提取的数据量是最大的
,
其次是加密备
中发挥
“
杀手锏
”
的作用
。
参考文献
[1]
份解析
,
再次是不加密备份
。
因此
,
在对苹果手机
IOS
系统进行取证时
,
应该做到优先提取逻辑镜
像
,
其次进行加密备份
,
最后选择普通的不加密
备份
。
罗超
,
刘枧
.
“
第三只眼
”
的探索和实践一一
以贵阳市
公安局云岩分局为例
[J].
中国刑事警察
,2017(2)
:
41
-
42.
在信息化不断深入影响社会生产生活的今天,
几乎所有案件的侦查都离不开电子数据取证
,
电子
[2]
刘枧
,裴文
.
贵州大数据网络安全社会综合治理体系
数据取证已经成为各类案件侦查的重要手段和工
具,发挥着越来越重要的作用
。
但同时
,
随着各种加
[3]
研究
[J].
贵州警官职业学院学报
,2019(5):113
-
118.
刘枧
,胡鹏
.
大数据时代公安基础信息采集五步工作
密技术的发展和社会各界对个人隐私保护的普遍重
视
,
电子数据取证的难度也越来越大,特别是在密码
破解
、
芯片取证等方面
,
由于破解难度太大
,
取证成
本过高等问题
,
电子数据取证经常面临
“
理论上可
行
、
实际上不行
”
的窘境
。
因此在公安实战中我们
要尝试多种工作方法
,
评估成本和效果的关系
,
寻求
一个最有利的平衡点
,
让电子数据取证在侦查工作
法
[J].
公安教育
,2020(2)
:
30
-33.
[4]
刘枧
,
张怀学
.
贵州公安机关警务实战化水平提升研
究
[J].
贵州警察学院学报
,2020(3)
:
11
-15.
[5]
Chet
Hosmer.
电子数据取证与
Python
方法
[M].
张俊
,
译
.
北京
:
电子工业岀版社,2017.
(
责任编辑陈小明
)
・
67
•
发布评论