2024年3月31日发(作者:)

S 业n 

种基于iOS平台微信取证分析方法 

汤伟王志帅 

(盘石软件 (上海) 有限公司上海200333) 

摘要随着移动通信技术.&-f-机生产技术的发展,智能手机在很多方面已经能够代替计算机处理很多日常应用。苹果公司 

基于iOS平台的iPhone ̄列是目前最为流行的手机产品之・,而微信则是超过三亿人使用的手机应用,在绝大多数智能手机上有 

着广泛的应用。本文首先介绍针对iOS平台的取证做简要介绍,然后针对微信软件进行系统的分析,包括微信的账户信息、好友列 

表、聊天记录及QQ离线信息等进行相应分析。 

关键词手机取证,iOS平台,iPhone,微信,SQLite,Plist 

doi:10.3969 ̄.issn.1674.7933.2014.01.005 

A Forensics and Analysis Method of WeChat Based 

on i0S Platform 

TANG Wei WANG Zhishuai 

(Pansafe Software,Shanghai 200333,China) 

Abstract With the development of telecommunication and mobile phone manufacture techniques,smart 

phones in many ways have been able to replace the computer in our daily life.Apple’S iPhone on iOS platform 

iS one of the most popular series of mobile phones,and WeChat,more than 300 million users are about to be 

involved.and WeChat has a wide range of applications on most smart phones.This paper introduces the iOS 

platform forensics briefly,and then analyzes WeChat application systematically,including WeChat account 

information.friends Iist,chat records and QQ ofiifne information. 

KeyWords Mobile forensics,iOS platform,iPhone,WeChat,SQLite,Plist 

0引言 

随着移动互联网的迅猛发展和硬件平台的工业自动 

猖獗…。打击犯罪不仅是国家安全部门的义务,也是每 

位取证工作者的责任。 

“越狱”是目前国内一种通俗的说法,也就是业界术 

语——权限破解,即通过破解获得程序的最高权限。 

本文将以iPhone为例,探讨iOS平台取证的方案、方 

法。利用提取的iPhone的备份文件及“越狱”后提取的文 

化技术日趋完善,智能手机已经俨然成为人们生活中不 

可获取的一部分。与此同时,利用手机进行诈骗、诽谤 

和伪造等犯罪活动也屡见不鲜。手机取证成为打击这类 

犯罪的一个有效手段。传统的手机取证主要着眼于电话 

本、短信,以及语音信息等基础数据的提取。随着微信 

等第三方软件的兴起,利用第三方软件的犯罪活动日益 

作者简介:汤伟,男,1979年11月生,本科,工程师,研发总监, 

主要从事及研究领域:信息安全。 

王志帅,硕士/软件工程师,Email:zhishuaimail@gmail.corn。 

件,对微信的目录结构、数据库文件、Plist文件进行解析。 

详细探讨iOS平台获取微信的方案。 

手机取证的定义:手机取证是指在健全的取证环境 

中,使用恰当的手段从手机及相关设备中恢复数字证据的 

S 

科学。在取证工作中必须遵守和满足电子数据取证的5 

在该备份文件夹下存在大量的40个字符长度的文件 

个基本原则:证据能够被承认、证据具有真实性、证据 名,其中只有少数的文件拥有扩展名,其余大多数文件 

具有完整性、证据具有可靠性,证据是能够被理解和采 才是真正的备份文件,这些文件的名称均是使用hash编 

集的 

码计算得到的。 

lnfo.Plist文件提供了包括lMEl号在内的一些本机 

iOS系统以其特有的封闭性,对证据的提取造成了 

定的困难。经过越狱操作的设备,因其通过非官方途 的硬件信息。Status.Plist文件显示了该iPhone备份的 

时间、备份的状态及备份设备ID等的一些备份信息。 径获取了系统的root权限,我们很难确定在越狱过程中 

是否对系统内部的数据进行了篡改,经过越狱的数据很 Manifest.Plist文件保存了手机安装的Apps信息,主要作 

难成为法院认可的证据。因此最理想的方法是对其备份 

用是确保备份文件之间数据的完整性。Manifest.mbdb 

信息进行分析。如果手机本身是越狱过的,手机获取到 

的有用信息会更多,对取证有更大的帮助。因此我们在 

的文件包含了备份的文件名、路径等信息。在之前的 

lOS版本中,其备份的文件中有一个后缀名为mbdx的文 

件,在这个文件中列出了真实文件路径和它对应的hash 

值的对应列表。 

取证的过程中需要对是否“越狱”做权衡。 

1.1未“越狱”情况下。备份文件的提取 

免费应用软件,能管理和播放多媒体文件、备份数据信 

关注的就是官方备份功能。 

iTunes可以自动备份iPhone中的以下内容:文字短 

2越狱后,更大权限,更方便地取证 

iTunes是苹果公司发布的供Mac和PC使用的一款 

1.

由于iPhone为保持系统的稳定性、省电、删除文 

息、下载第三方软件、配置你的设备等等,而我们最为 

件不产生垃圾等优势,用户只有读没有写的权限。笔者 

认为依靠现在的技术完全可有这样一套强大的手机取证 

系统,可以稳妥地解决“越狱”难题。比如上海盘石公 

司研制的SafeMobile手机取证分析系统,这款软件已在 

息、彩信中的图片、联系人、El历、备忘录、相片、最近通 

话、个人收藏、声音设置、电子邮件设置、safari浏览器设 

多年来的取证实践中得到认可。SafeMobile可以自动对 

置、应用程序信息(如游戏存档、数据库信息、图片信息、 

iOS设备进行备份,对于越狱后iOS设备可以直接更快 

软件配置信息等)、网络配置信息(Wi-Fi、蜂窝数据网、 

速地提取,这些操作都是一键提取,方便易行,降低了 

VPN等),以及一些其他配置信息,本文我们最为关注的 

用户的操作难度。其次SafeMobile可以对通过iTunes对 

是微信这款软件的应用程序信息。 

iOS设备做的备份文件直接解析,并且支持对越狱后的 

通过iTunes可以创建iOS设备的备份【3]: 

用); 

手机做镜像,进而获取到更多的手机信息。SafeMobile 

时的障碍,使得iPhone取证变得更加简单[4】。 

通过第三方软件将iPhone越狱后,将获得系统的最 

大权限。越狱后可以通过工具对手机进行dd镜像制作, 

制作的镜像是数据的基础,可用于数据的删除恢复,能 

得到更多的数据,对于手机取证具有重要的意义。 

・与iTunes同步(如果已打开iCIoud备份,请停 

屏蔽了系统权限的束缚,解决了“越狱”在iPhone取证 

・在iTunes中右键点按(或按住Control并点按) 

“设备”下方的iOS设备,然后选取备份。 

使用以下步骤通过iTunes手动备份iOS设备: 

・将iOS设备连接到装有最新版本iTunes的电脑; 

・点按文件菜单,并选择设备>备份。 

iPhone手机数据可以通过iTunes备份以及对备份文 

2 iOS平台微信应用 

微信是腾讯公司于2011年1月21 El推出的一款通过 

网络快速发送语音短信、视频、图片和文字,支持多人 

群聊的手机聊天软件。用户可以通过微信与好友进行形 

件加密,备份文件由于操作系统的不同保存的路径也各 

2.1微信简介 

不相同。表1列出了不同操作系统备份文件存储位置。 

表1备份文件在不同操作系统下的路径 

操作系统 存储路径 

Apple Computer\MobileSync\BackuD、 

Windows 7Nista c:、use ‘用户名>、AppData\Roaming\ 

Windows XP 

Mac0SX 

式上更加丰富的类似于短信、彩信等方式的联系。微信 

软件本身完全免费,使用任何功能都不会收取费用,微 

信时产生的上网流量费由网络运营商收取。 

t 

C:\Documents and Settings\<用户名> ̄,Application Data\ 

Apple Computer\MobileSync\Backup\ 

 ̄/Library/Application SupportlMobileSynclBackupl 

S 业n 

<key>Uin</key> 

的目录结构。iPad与iPhone类似,可以通过相似的方法 

</integer> 《integer>984 ̄

《dict’ 

<key>WXAliamName</key> 

获取数据。通过越狱获得更高的权限,拉取文件更加方 

便。通过以上两种方式提取了硬盘中的信息,然后,对 

iOS平台的微信的好友列表、聊天记录等数据库表结构 

ltry /key 

《key 嗣j【cityt,key> 

《dic七 

《key>嗣 【I:咄

{dic七’ 

进行了分析。并给出了一种播放微信语音文件(aud) 

记录的方法。最后,对Plist文件格式的微信账户信息、 

QQ好友列表信息等信息进行分析,得到了更多有用的 

信息。 

随着iOS平台微信版本的不断更新,它将具有更多 

<key>WX ̄ickName</key> 

《dict' 

<keymWXProvince</key> 

0 j<dict> 

<keymWXSex</key> 

0 

的新功能,因此对iOS平台取证将会非常有价值。但是 

由于新技术的运用和对个人隐私的不断重视和保护,这 

些有价值的信息将会被保护起来,如安卓平台的微信已 

经对数据进行了加密,无法明文看到对应数据的信息。 

《/dict> 

《璺triJ1g 狮子座—____l_k/gtring’ 

《暑criT 蠖美<Is ̄ring> 

图5 QQ好友列表 

相信微信在iOS平台也会加强对于数据的保护。如何获 

取这些隐秘保护后有用的数据信息,是未来研究的方向 

之一,也是取证工作的挑战。 

通过对qqfriend.arh文件的分析可以得到通过QQ离线助 

手查看的所有QQ好友信息,在对微信取证的同时也能 

获取与微信关联紧密的QQ信息。 

参考文献 

【1】杜江,王聪.iPhone第三方软件取证的研究[J】.计算机光盘 

软件与应用,2013,(13). 

其分组信息对应文件qqgrouplist.arh,与此类似, 

故不再赘述。 

【2】高峰.iPhone手机取证的应用研究[J】.警察技术,2011,(3). 

[4】李毅,皮浩.两大诉讼法实施后在检察工作中的新问题破 

解[J1.检察装备技术新动态,2013.(8). 

【5】腾讯官网-微信产品专区. 

http://kf.qq.com/faq/120322fu63YV130422Ab2YvQ.htmI. 

3]lOS:如何备份和恢复内容.http://support.apple.com. 

通过微信的分析能够得到QQ的部分重要信息,也 

是iOS取证的重要取证内容。 

4结语 

本文通过对iPhone备份文件进行提取,iPhone 

手机的基本结构进行了深入分析,并分析了第三方应用 

【6】SQLite.维基百科.zh.wikipedia.orglzh-cn/SQLite. 

【7】Plist.维基百科.zh.wikipedia.org/zh—cn/Plist.