读书频道 > 网站 > 网页设计 > iOS取证实战:调查、分析与移动安全
1.3.2 取证获取类型
13-06-28    奋斗的小年轻
收藏    我要投稿   
iPhone 和iOS取证领域广受好评的经典著作,资深取证技术专家撰写,理论指导与实用性兼备!从iPhone和其他iOS设备的硬件设备、应用开发环境、系统原理多角度剖析iOS系统的安全原理,结合实用的工具和案例系统讲解...立即去当当网订购

下面的内容列出了Apple设备上最常用的获取技术。这些方法可能会与1.3.1节中讨论的部分内容重复,但是本节将讨论更多技术细节以及如何将这些技术与iPhone联系起来。

1. 备份

iPhone取证的一个常用方法是分析备份目录。同步iPhone和备份iPhone是有差异的。基本上,同步是将iPhone上的文件与计算机上的文件保持一致,并备份一些关键的信息。而备份是保存SMS、通话记录、联系人和其他应用数据的副本。备份信息对于取证分析者来说是非常重要的,尤其是当取证分析者不能直接访问iPhone设备的时候。

此类获取过程从iPhone的备份文件中读取文件,而这些备份文件是通过iTunes创建的(使用Apple的同步协议)。通过这种方法仅能获取通过协议精确同步的文件数据。但不管是什么原因,当你不能访问设备或者不能进行数据映像时,备份分析将是一个有效的方法。

通过这种方式,许多关键信息都能够恢复。常用数据存储在SQLite数据库和属性列表文件中,协议支持对SQLite数据库和属性列表文件的同步。大多数已分配数据,或者换句话说,仍然保留在设备上的数据,都可以通过备份分析来恢复。此外,其他一些数据(例如已被删除的SMS、通话记录和联系人)通常也能够通过直接查询SQLite数据库来恢复。

2. 逻辑获取

这种方法直接从iPhone中获取数据,并优先从与iPhone同步过的计算机中恢复文件。现有的许多商用工具可以直接完成逻辑获取。然而,取证分析者也必须清楚以下几点:获取是如何发生的;iPhone是否被修改过;这个过程不能获取什么。

使用逻辑方法能够恢复iPhone文件系统中的活动文件和目录。但是,不能恢复在未分配空间(或不活跃空间)的数据。通过逻辑获取可得到下列条目所包含的一些常用数据:SMS、通话记录、日历事件、联系人、照片、Web访问记录、同步的电子邮件账户等。只有未删除的数据才能从这些文件中完全恢复。而某些应用程序,有时也能通过查询SQLite数据库文件来提取那些已删除的数据。第3章将对SQLite数据库文件的数据存储进行介绍,第6章将向大家演示从数据库文件和其他文件中提取已删除数据的方法。

3. 物理获取

第三种方法是通过物理获取来映像iPhone。这个过程创建一个文件系统的逐位复制,类似于大多数计算机取证分析中所采用的方法。虽然这种方法有可能最大限度恢复数据(包括已删除文件),但是这个过程更加复杂,并且要求更加精细的分析工具和技术。通过此方法,设备中的任何类型的数据都能够被恢复。对所得到的磁盘映像文件进行高级数据分析,也有可能恢复GPS坐标、蜂窝发射塔位置,甚至是已删除的短信和彩信。

很多时候,将各种文件中提取的元数据拼接在一起也可能得到一些其他的分析结论。例如,通过比较照片恢复出来的时间戳和SMS记录中的时间戳,可以知道这张照片曾经被发送给了谁。虽然使用备份和逻辑获取也可以恢复此类型的信息,但使用物理映像技术有可能恢复更多数据。

4. 非传统方法

也有一些不太常见的、有争议的方法通过修改设备固件使设备许可更多功能,使得研究者可从Apple设备中提取那些用其他方法可能无法得到的数据。

越狱是这些技术中的一种。为了越狱一台设备,固件分区将被替换为一个黑客(hacked)版本。这个黑客固件分区包含了一个安装包,此安装包允许用户下载那些正常情况下无法通过App Store获得的工具和程序。Apple公司的立场是,这种技术将造成盗版的猖獗和公司技术支持费用的增加(Moren,2010)。因此,苹果公司不对任何越狱过的设备提供保修服务,实际上直到2010年初,越狱都是一种非法的行为。

说明:越狱

越狱将Apple设备的固件分区替换成黑客版本,允许用户下载那些不能通过App Store明确获得的软件。越狱也使制造商不对此设备进行保修。

数字千年版权法案(Digital Millennium Copyright Act,DMCA)通过一个包含反规避技术的来支持像Apple这样的公司。这个法案于1998年颁布,法案包含了“规避技术保护措施”条款。这一条款的一个部分声明禁止规避受版权保护的技术。因为越狱技术绕过标准固件分区并修改固件以许可设备获得更多功能),所以在出现之后的一些年里,它都被DMCA列入不被豁免的名单(美国版权局,1998)。每隔三年,DMCA被进行评估和审查以确定此法案是否仍然对某些特定的技术适用。根据最近的审查,美国国会图书馆宣布越狱技术已经被DMCA豁免。但这项裁决并没有强制Apple公司将越狱设备包含在保修范围内,而仅仅意味着以这种方式来修改自己设备的用户不再会被追究法律责任。此外,法案规定任何下载到设备上的软件都必须是通过合法途径获得的,因此,盗版软件依然属于非法范畴(Moren,2010)。

本书不会探讨任何类型Apple设备的越狱过程,但应该指出的是,市场上可以找到适用于任何型号和固件版本的越狱方法,Apple黑客社区也在持续开发新的工具和技术以允许使用者更好地控制设备。事实上,最新发布的一些应用程序甚至允许越狱Apple TV。通过这种方法,使用者甚至可以在他们的Apple TV上运行诸如XBox Media Center这样的应用。

作为审查者,基于测试目的使用已越狱设备来配合工作是非常有教育意义的。这里有一些可用的工具,例如Mobile Terminal和OpenSSH,允许你使用常见的命令(例如“ssh”或“ftp”)来远程连接设备。一旦连接上设备,审查者就能浏览整个文件系统,获悉设备中的文件种类。这个目录结构与通过物理获取技术得到的磁盘映像文件相似,但并不完全相同。使用这些方法,能够将个人文件甚至整个文件系统从设备复制到取证工作站上。第5章将指导审查者在已越狱的iPhone中获取原始磁盘映像。但遗憾的是,用这种方法在iPhone 3G(s)或iPhone 4上获取原始磁盘映像时,我们还要面临硬盘加密的问题。

点击复制链接 与好友分享!回本站首页
分享到: 更多
您对本文章有什么意见或着疑问吗?请到论坛讨论您的关注和建议是我们前行的参考和动力  
上一篇:1.3 功能
下一篇:1.5 小结
相关文章
图文推荐
JavaScript网页动画设
1.9 响应式
1.8 登陆页式
1.7 主题式
排行
热门
文章
下载
读书

关于我们 | 联系我们 | 广告服务 | 投资合作 | 版权申明 | 在线帮助 | 网站地图 | 作品发布 | Vip技术培训
版权所有: 红黑联盟--致力于做最好的IT技术学习网站