ios取证

摘录自:《IOS取证实战》

Andrew Hoog著

viaForensics公司，今年已经募集到1600万创业基金

2007-2011年初，AT&T是在美国唯一为iphone提供服务的运营商。AT&T将sim卡和iphone绑定。用其他公司的sim会被锁定

2011年2月,verizon也为iphone4提供网络服务（CDMA网络）。iphone的使用被强制在这2个运营商之间。解锁应运而生。

iphone分级工具难度依次排列，

微码读取-最难

芯片拆解--直接将内存芯片拆卸读取

16进制转储-镜像

逻辑分析-复制

人工提取

取证获取类型

1.备份

2.逻辑获取

3.物理获取-有可能恢复已删除文件

4.非传统方法-例如越狱,2010年越狱被DMCA豁免

linux取证工具

1.创建磁盘镜像

2.文件雕复

3.创建事件的时间线

4.搜索磁盘映像

iphone模式

基本模式，恢复模式，DFU模式（可物理取证）

降级，还原

RecBoot,iRecovery,iBoo/iBSS,

keychain文件，ipsw,SHSH blobs-设备独有的签名（即便同一设备，不同IOS版本签名也不同）

AutoSSH,Tiny Umbrella保存SHSH blobs.

Iphone文件系统的结构

SQLite数据库文件，属性列表-plist,plutil可读取二进制格式的属性列表文件

RAM，Mac Memory Reader执行MacOS设备的内存信息转储，并输出结果到外部设备上。还不能应用到IOS设备上

NAND闪存，SLC到MLC,写入擦除周期，不能随机访问，按页访问，ECC纠错，磨损均衡-HFS plus文件系统的目的之一，标记为未分配，可以恢复一些看上去被删除的数据

iOS分层

OS核心层，服务核心（core foundation,CFNetwork,SQlite,KeyChain services）,媒体（图形，音频，视频），Cocoa触摸

文件系统

fsstat工具，卷，b-tree结构，日志，固件分区和用户数据分区slice2

美国计算机犯罪法律

CFAA,ECPA,CSEA,DMCA

监管机构的法案

PCI,HIPAA,HIPAA补遗，FISMA,FERPA,GLBA,SOX

安全测试过程

数据构造，取证镜像（初始化设备后，远程擦除前后），数据安全评估（静态数据分析，动态分析（MITM攻击，MITM SSL攻击，DNS欺骗，基带攻击），查找残留数据

应用程序安全

第三方机构移动安全审计，开发者安全策略（用户名，密码的存储，信用卡数据，敏感应用数据级别，SSL,md5过时，TLSv1漏洞）

取证调查类型

审查（刑事或者民事审判），企业内部调查，政府安全运营。

逻辑和物理技术区别

物理-不依赖文件系统访问数据-可恢复已删除数据。

目标设备的修改

没开机，开机状态，正在执行加密，服务器，ACPO的指导方针。

处理证据

1.密码处理

2.网络隔离

3.关闭的设备

镜像iphone,ipad

1.备份获取（加密/不加密）

相关工具:paraben Device Seizure,Oxygen Foresic Suite,Mobilyze by BlackBag Tech,Mobile Sync Browser,iPhone Analyzer,iPhone Backup Extractor

加密备份破解:iPhone Password Breaker

IOS4.0起，如果备份未受密码保护，系统会使用存储在iPhone上的硬件秘钥来加密Keychain文件（包括用户名和密码）-硬件级加密

4.0前如果备份是密码保护的，系统用备份密码生成软件秘钥加密keychain文件

加密备份当前没有软件可以读取，一般都是先破解加密密码。

Elcomsoft公司的iPhone Password Breaker通过解密manifest.plist文件恢复纯文本密码。

2.逻辑获取

3.物理获取

(4.x以下可以)三种方法：Zdziarski（iOS4以上只能恢复逻辑文件系统，完整物理镜像不行）,FTS的iXAM软件，越狱

ipad,AppleTV

ipod touch类似，Apptv第一代用OS X基础，二代运行在IOS上，非标准IOS,2代没有硬盘，只有8GBNAND闪存。

数据和程序分析

1.挂载磁盘镜像DMG格式，mount –t hpfsplus

2.文件雕复file carving (Adroit PhotoForensics产品和scalpel手术刀工具-基于0.69开源文件雕复应用）

大量的文件特征的整合magic file,/usr/share/file/magic,用file命令

另一个工具是strings可以扫描出文件中至少4字符长度的可打印字符串。

3.时间表创建和分析

工具：the Sleuth Kit (TSK)

fls工具将文件收集数据，存储为body file格式

mactime脚本将这些数据以时间表分类合并，csv文件

4.分析

hexedit，sqlite浏览器

例子：sms.db

strings –all --radix=x sms.db | grep –A 1 010-87739363 |wc –l

时间格式 CFAbsluteTimeConvert(OS XEpoch格式）

一，地理位置数据，consolidate.db 包括wifilocation表和celllocation表(不要单独依赖该文件的时间戳)

MCC:移动国家码

MNC:移动网络码

LAC：位置区域码

CI:小区识别码

/private/var/root/library/caches/locationd/cache.plist

二、用户名和密码

/private/var/keychains，许多应用保存密码到这里keychain-2.db

包括genp-某一时刻登陆的账号列表，inet同步过的邮件账号（加密密码等）等表。

iphone password breaker解密或者越狱安装ssh server,将一个脚本复制到设备运行和keychain数据库通讯并提取数据包括密码。工具为keychain_dumper

三、屏幕快照

四、配对设备-证明设备属于某个用户

和计算机同步过，同一个秘钥，证书相同。pair_records目录下base64编码的证书。

短信，通话记录(最多100条)，用户字典/键盘，日历，邮件，备忘录，浏览器，

商用工具测试

数据构造

测试场景

预期结果

级别 0 失败 1-3低级恢复 4符合预期5超出预期

移动取证工具:

软件              公司   NIST是否测试过

cllebrie UFED cellebrite 是(标准取证和文件转储取证结果，可生成报告)

iXAM   frensic telecommunications services (FTS)

Oxygen Forensic Suite 2010 Pro  Oxygen Software

XRY Micro systemation

lantern Katana Frensics

MacLock Pick SubRosaSoft

Mobilyze Black Bag Technology

Zdziarski Technique Jonathan Zdziarski

Paraben Device Seizure Paraben

MobileSync Broswer Vaughn S.Cordero

CellDEK Logicube

EnCase Neutrino Guidance Software

iPhone Analyzer Leo Crawford,Mat Proud

国内企业相关资料

北京天宇宁科技有限公司前身——北京天宇宁企业技术秘密咨询服务中心（CFLab）由国内知名计算机法证产品评测专家、国家保密局资深专家赵春芳先生所创建，北京天宇宁是国际最新、最全面的专业的计算机法证产品、计算机法证培训、电子证据服务、数据恢复产品、密码破解产品、数据销毁产品的服务公司，同时也是国内仅有的具有提供企业秘密保护咨询服务资质的公司。公司总部位于北京CBD中央商务区泛利大厦，设立有国际一流的计算机法证实验室、产品体验中心和培训中心，并在上海、广州、成都及香港等地设有合作服务机构。

天宇宁与国际众多计算机取证专家、国际知名计算机取证产品开发公司合作密切，并深受各国计算机取证专家所信赖。目前委托天宇宁在中国境内代理产品的国际计算机取证专业产品公司有：韩国Finaldata公司、德国X-Ways公司、澳大利亚ForensicsMatter公司、美国ASRdata公司、美国SubRosasoft公司、俄罗斯的Elcomsoft公司、澳大利亚的NUix公司、美国F-Response公司、美国Forensicsoft公司、俄罗斯Belkasoft公司等。北京天宇宁科技有限公司以诚信为原则，不仅对国外代理公司产品质量负责，更对国内计算机取证用户给予及时的技术保证和支持。

北京天宇宁科技有限公司围绕国内外计算机取证专业工具及法证规范，定制了最新的培训课程。培训课程基于《计算机法证工具实战》，并对各专业软件公司的计算机取证产品培训内容进行完善，同时结合了国际计算机取证实战原则与方法，是一个对国内各计算机取证服务公司、企业内部安全官、法证恢复提供商、律师、法务会计师、司法鉴定人员具有帮助作用的专业课程。培训讲师是目前国内唯一得到过多家国际厂商认证的专业计算机取证培训师，被授权为FINALDATA公司中国首席培训师（Training Master）、X-Ways Forensics首席培训师、澳大利亚Nuix公司首席培训师、澳大利亚ForensicsMatter公司首席讲师。

北京天宇宁科技有限公司更是计算机取证专业服务的提供者，为国际客户提供数据获取、数据分析、数据恢复等多项服务，目前与众多国际知名企业具有合作关系，可帮助各国专业公司完成符合国际司法标准的法证服务。