中国人民公安大学学报(自然科学版)
2020年第4期No.42020Journal of Peopled Public Security University of China(Science and Technology)总第106期Sum106苹果手机IOS系统3种取证方法测评对比研究
刘枧▽,邱平3,苏顺华3
(1.贵州警察学院计算机科学系,贵州贵阳550005;2.公共大数据国家重点实验室,贵州贵阳550025;
3.贵州省公安厅网络安全保卫总队,贵州贵阳550001)
摘要通过公安电子数据取证的具体实例,从浏览器历史记录、聚合位置信息、钥匙串(Keychain)、日志文件和输入法、即时通讯5个维度,使用普通的不加密备份取证、加密备份取证和逻辑镜像取证3种不同的取证方法,对同一部苹果手机ISO系统进行测评实战比对。通过对比3种取证方法提取的数据量,阐明电子数据取证方法对取证数据和案件侦查的影响,并详细分析各类数据对案件侦查的作用。
关键词苹果手机;IOS系统;取证方法;测评对比;备份
中图分类号D918.2文献标志码A
A Comparative Study on the Evaluation of Three Forensics
审车需要带什么材料Methods of Apple Mobile ISO System
LIU Jian1,2,QIU Ping3,SU Shunhua3
(1.Department of Computer Science,Guizhou Police College,Guiyang550005,China;
2.State Key Laboratory of Public Big Data,Guiyang550025,China;
3.Network Security Corps,Public Security Department of Guizhou Province,Guiyang550001,China)
Abstract:Through the concrete examples of public security electronic data forensics,from the five dimensions of browser history,aggregate location information,keychain,log file and input method,instant messaging,using three different forensics methods,i.emon unencrypted backup forensics,encrypted backup forensics and logical image forensics,the same Apple Mobile ISO system is evaluated and compared in actual combat By comparing the amount of data extracted by these three methods,this paper expounds the influence of electronic data collection methods on evidence collection data and case investigation,and analyzes all kinds of data in detail.
Key words:Apple Mobile;ISO system;forensics method;evaluation comparison;backup
0引言
在移动互联网技术不断发展的今天,移动智能终端已成为人们生活中必备的工具,人们的吃住行消乐都可以依托智能手机完成。使用智能手机时,手机中留下的各种数据,可以刻画出持机人的生活轨迹和活动情况。在涉网案件的侦办过程中,从嫌疑人手机提取到的电子数据,不仅可以到与案件相关的重要信息,还能通过对手机数据的深度研判,刻画出犯罪嫌疑人的犯罪动机及心路历程,往往对案件的侦破以及定罪量刑起着极其关键的作用。对侦破案件、发现犯罪动机以及研究此类案件特点有
收稿日期2019-02-04
作者简介刘枧(1963—),男,湖南邵东人,副教授、系副主任。研究方向为公安大数据应用、计算机数学建模。E-mail:gzp-cliujian@163
・62・
着非常重要的作用。
随着存储芯片加密技术在智能终端中的广泛运用,早期在涉网案件中遇到的IOS系统和Andriod 系统设备取证过程中使用的“物理镜像”法,已经无法发挥作用。目前,对IOS系统涉案设备的取证中常用的方法为逻辑镜像提取、加密备份提取和不加密备份提取3种方法。但是使用不同的方法提取到的数据量也会有很大的差距,本文主要针对涉网案件侦办过程中遇到的IOS设备取证中常用的3种方法进行了分析研究。
1电子数据
电子数据是案件发生过程中形成的,以数字化形式存储、处理、传输的,能够证明案件事实的数据。电子数据勘查取证,是指侦查人员运用科学的取证技术,对犯罪有关的电子数据进行收集、提取、分析、固定的侦查活动。在侦办涉网案件过程中,常常需要对包括移动智能终端在内的涉案电子设备进行电子数据勘查取证,苹果、安卓等智能手机是涉网案件中常见的涉案智能终端。对涉案智能终端进行勘查取证,一般需要对手机短信、通话记录、即时通讯、上网历史记录、移动支付交易记录、手机相册、电子文档,以及其他手机APP的使用记录等与案件相关的电子数据进行提取固定,为案件的侦破提供证据支撑,为审判过程中定罪量刑提供参考依据。
在侦办信息案件中,最重要的便是对电子数据的查证,电子数据是查清信息案件情况的关键要素,是认定犯罪事实最重要的证据。电子数据的来源包括犯罪时可能使用的服务器、电脑、手机、移动存储设备等电子设备。
2苹果手机取证技术原理
IOS是由苹果公司开发,并于2007年1月9日发布的移动操作系统,最初是设计给iPhone手机使用的,后陆续沿用至iPod touch、iPad以及Apple TV 等苹果设备上。用户使用IOS设备时,需要注册Apple账户ID,该账户可以关联多台“苹果”设备,用于存储照片、视频、文档、音乐、App等内容,并在各种设
备上同步保持更新。随着科学技术的发展,芯片加密的应用越来越广泛,早期通过物理镜像,直接读取芯片进行取证的方法,由于加密机制的出现已经失去了意义。我们通过具体实例,分析比较一下不加密备份、加密备份和逻辑镜像这3种取证方法提取数据的差别。
目前对于苹果手机的取证,一般采用备份数据法和逻辑镜像法。镜像分为物理镜像和逻辑镜像,物理镜像是所用存储的一个副本,包含了所有数据,但是现在存储机制使用了全盘加密,因此对苹果手机做物理镜像没有任何实际意义;逻辑镜像是指针对使用空间进行的镜像,它不仅包括了应用程序的数据,还包括了系统日志文件、应用程序日志等重要信息。而备份仅仅是对应用程序数据的备份,不包括日志和软件配置等信息。因此从提取数据量来说,肯定是物理镜像不仅大于逻辑镜像,而且大于备份数据。
逻辑镜像是提取设备的完整文件系统,可以访问用户的数据,也就是说,提取的是包含在iTunes 备份中的内容。从某种层面上来说,我们无法恢复已删除的文件,但是由于SQLite数据库的空闲表和未分配的空间,我们还是可以恢复已删除的记录,包括短信和其他聊天记录,浏览历史记录等。
使用手机取证系统进行逻辑镜像提取的前提是手机可以连接到电脑PC端,逻辑提取是访问存储在IOS设备数据的最快、最简单的方式,能进行逻辑提取的工具有很多,有商业工具也有免费工具,而多数这类工具都要求设备能够解锁,或者能提供信任计算机上面已有的Plist文件;使用内部配对记录管理,
则用给定的主机ID对设备进行解配。任意一台与IOS设备同步过的计算机都存储了大量的信息,这些计算机通常称为主计算机,可以具有历史数据,可以用作绕过屏幕解锁的信任文件。
iTunes备份在案件调查中,可以通过搜查令以取得嫌疑人的计算机,从而得到备份和lockdown文件。IOS备份文件取证主要涉及分析由iPhone、iPad、iPod touch或Apple Watch生成的离线备份, Apple Watch的数据将包含在同步过的iPhone备份中。
当IOS设备的物理提取、文件系统提取不可行,且逻辑提取无法满足取证需求时,iTunes备份提取也能发挥作用。在这种情况下,调查取证人员只需要制作设备的备份并使用取证软件对其进行分析。因此调查取证人员必须完全理解备份过程和所涉及的工具,以确保他们能够制作取证备份,且不让其他数据对iTunes中的数据造成污染。
iTunes是苹果公司推出的连接IOS设备和电脑主机的一款应用软件,其“备份”功能可以从IOS设
-63-
备获取大部分数据,如通话记录、上网记录、即时通讯、手机钱包、支付类应用信息等,所以经常被取证人员用做IOS设备的数据提取。iTunes提供加密备份选项,但默认情况下同步iPhone时,它就会创建一个未加密的备份。加密备份在解密后,可以掌握存储在IOS设备上的额外数据的访问权限。
用户常常会制作备份文件,以防在设备损坏或丢失后损失数据。因此,我们既可以为设备创建一个全新的备份进行分析,也可以利用现有的IOS备份来搜索遗留的历史信息。由于备份可能使用的是iTunes或iCloud,且同一设备有可能存在多个备份。调查取证人员必须对每个备份进行取证分析,寻与案件相关的痕迹与线索。
需要注意的是,通常在IOS设备连接到计算机时,iTunes会自动开始进行同步过程。为避免IOS 设备与计算机之间意外的数据传输,在把设备连接到取证计算机前,请务必取消自动同步功能。加密备份和不加密备份的区别如图1所示。
图1加密备份和不加密备份
当我们连接上IOS设备并打开iTunes,点击立即备份,会弹出如图1所示的对话框,弹出是否加密备份,如果选择加密备份,会提取到“健康”和“Homekit”等更多数据,这是因为这两种备份数据加密方式不同。在加密备份中数据是基于备份密码进行加密,与当前硬件无关,在取证或者仿真过程中将数据还原到任何一台设备都不影响数据的解析;而在不加密备份中,数据的加密是基于本机的硬件特征来进行加密,我们在取证或者仿真的过程中需要将备份还原到其他设备上,就会造成数据的缺失,这就是加密备份与不加密备份提取数据不同的原因。
3苹果手机3种取证方法实战测评对比
通过公安电子数据取证的具体实例,从5个维度对不加密备份取证、加密备份取证和逻辑镜像取证这3种取证方式提取的数据进行测评实战比对,并详细分析各类数据对案件侦查的作用。3.1浏览器历史记录
浏览器的历史记录,记录了机主使用手机上网留下的痕迹,这是反映机主内心世界的重要指标,这个信息往往在案件侦查中能够起到非常重要的作用。最经典的案例就是2004年云南大学学生马加爵杀人案,当时马加爵与同学因琐事积怨,从而产生报复杀人心理,随后购买了作案工具,在宿舍里相继残忍杀死4名同学后潜逃。手机的浏览器历史信息记录了机主的上网行为,可据此分析机主使用手机上网的目的和动机。
比较一下3种取证方式提取的浏览器历史记录数据,如图2所示,加密备份和不加密备份提取的数据都是16条,但是逻辑镜像提取了31条数据,比通过备份方式获取的数据多了15条。
使用普通的备份提取方式无法提取手机百度App的数据,而在整个历史记录里边,本案中刚好从手机百度这个记录中发现了和案件相关的数据信息,为案件的研判提供了很好的依据。
-64
•
图2浏览器历史记录取证数据对比
3.2聚合位置信息所谓聚合位置信息,简而言之就是把所有手机 里的位置信息全部汇聚在一起进行展示,这些信息 包括导航的位置信息、WIFI 的经纬度、照片的GPS
位置、或QQ 聊天中发送的位置、运动软件记录
的位置等等。将手机里的这些位置信息做一次集中 整合,就可以知道该手机到过、搜索过或者接收过的
位置记录,从而大致确定该机主的活动范围,如果结
合时间节点数据就能得到更多对案件侦查有价值的 线索。
如图3所示,逻辑镜像提取聚合位置信息
12 995条数据,而通过不加密备份、加密备份这两种
备份方式都只提取到7条数据,相差近13万条数
据,获得的数据差距是非常大的。
抗忙北鼻图3聚合位置信息取证数据对比
本案通过位置聚合信息功能,侦查人员很快锁 定了该组织的活动范围,缩小了包围圈,为案件的进
一步侦查提供了更好的思路。向华强不敢动的5个人
3. 3 钥匙串(Keychain)
对于苹果手机IOS 系统取证来说,钥匙串
(Keychain )是非常重要的数据信息,因为钥匙串是 IOS 系统的密码管理系统,也可以说是IOS 设备中
一个安全的存储容器,一般是用来保存用户名、密
码、认证令牌等重要的敏感信息。因此用户即使将 APP 删除,钥匙串Keychain 也会保留有关的配置信
息,下次用户再装APP 时,系统还能从Keychain 中
获取数据。如图4所示,逻辑备份除了提取包括证 书、通用密码等347个Keychain 数据外,还可以提
取到备份文件的明文密码,这是非常重要的数据信
息;而加密备份只提取到149个Keychain 数据,不
加密备份提取到的钥匙串Keychain 数据为0。
回也书签(15)
S 沪钥題串(347) | 0£ 所^35(340)
0证书⑶
.聲谿(306)
创郭(4)-
的网塔密码_ ⑨酹(27)
|总血分
司Wifi ⑸
b Token (1)
国齢蜩(1)
逻辑镜像
-沪钥匙串(149)
直Wifi ⑷
Q Token (1)
因庆搜素项目⑺
$ f 历史记录(16)
费曼被吴镇宇贴吧拉黑©劇⑴
❹ Safari (15)
殛昭息(7)
囱位置異合(7)
B 里犍⑼
3 Safari ⑼> Cookies (644)
S)但日历(90)
图4钥匙串(Keychain )取证数据对比
-65
-
在进行数据分析中,从通用密码里到了嫌疑 人的邮箱账号和密码,并且从邮箱里发现了相关涉
案信息。因此充分利用好钥匙串Keychain 的数据
信息,对破解密码和情报挖掘有着非常重要的作用。3. 4 日志文件和输入法
日志文件记录了对于软件的安装卸载,文件的
打开和关闭时间,文件接收路径,连接过的WIFI 等 信息,这对于判断案件性质、指明侦查方向、确定案
发时间等有着非常重要的意义。如在一起纵火自杀
案件的侦办过程中,在大量证据确实的情况下,通过
提取手机与WiFi 连接断开的时间为依据,非常精确
地确定了案发的时间,为案件侦破提供了重要的数
据信息支撑。现在很多人习惯于个性化设置自己的输入法,
电脑老是自动关机怎么回事而且现在大多数智能输入法都会根据用户输入的频 次来创建个性化的输入,这使我们在取证实战中往
往能发挥出奇兵的作用。在一起赌博案件侦查中, 侦查人员在抓获犯罪嫌疑人时,犯罪嫌疑人已经对
手机进行了全面的清理,没有任何证据证明其与案
件相关,但是侦查员通过提取了他的输入法词典,从
词典中发现了大量与案情有关的赌博词汇,以此为
依据,随即对他展开猛烈攻势,最终突破犯罪嫌疑人
的防线,使其交代了犯罪事实。
如图5所示,逻辑镜像提取了日志文件14万余
条数据,并且还提取了机主输入法的用户词典;而不 加密备份、加密备份这两种备份方式仅仅提取了 4
万余条数据,两者相差了近10万条数据。
回甸轴入法⑴
卜用户词典⑴
E)鸟日志(142840)
鸟应日志(852)
[>Wi-F 旧志(812)
•鸟文件日志(14117”
鸟开机日志⑷
-剜息(39/1"
0 Wi-Fi
©5^8(39/16)1-
逻辑镜
@ Cookies (644)
• H 日历(90)
图5日志文件和输入法取证数据对比
-
.妄果飜(149)
認盼⑴ ©步数(74)
卜步行和跑步
3. 5 即时通讯对于手机取证来说,即时通讯的重要性再怎么
强调都不过分,它不仅可以作为案件侦破的直接线
索,固定后作为定罪量刑的证据,还可以为案件侦查
提供方向和思路。
在这次实战测评对比中,如图6所示,逻辑镜像
提取了 QQ 记录1万余条数据,而加密备份、不加密 备份两种备份方式只提取了 QQ 记录9千余条数 据,逻辑镜像比备份方式多提取QQ 记录800余条 数据。
-。删消忌⑴心/444®
♦10^(2108/223)
j BQQ (9669/4210)
-|jm (22)
卩耕(22)
&叔 *)5... (9647/4210)
-10^(2108/223)
—伽砂 xid.ai,.. (134/53)
(1974/170)
BQQ (9669/4210)
|嬉锹(22)
图6即时通讯软件取证数据对比
4结语
苹果手机数据提取,大多数App 用户数据不支
持备份提取,个别App 备份数据不全,很多App 通
过备份提取仅能解析出账号信息,没有其他历史记 录。对于 twitter 、telegram 、telegram x 、淘宝、闲鱼、
Gmail Skype 、系统邮件、facebook 、百度地图、旺信、易
信、uc 浏览器、手机百度、百度、携程、人人、potato 、 soul 、遇见、聊天宝、百度云、dropbox 、支付宝、谷歌地
图、signal 、mqqi 、百度贴吧等的运用,也只能通过镜
像方式提取数据, 无法通过备份方式提取数据。
通过多次验证和研究发现,苹果手机IOS 系统
韩瑜个人资料・66
・
发布评论