廣告合規(guī)法務(wù) 企業(yè)合規(guī) 藥企合規(guī) 企業(yè)廉潔合規(guī) 企業(yè)合規(guī)管理 上市公司合規(guī) 企業(yè)合規(guī)管理
iTunes備份是電子數(shù)據(jù)調(diào)查人員在工作中常見的重要數(shù)據(jù),在最近一起反舞弊調(diào)查的案子中,筆者在對涉案人員使用的PC進(jìn)行電子數(shù)據(jù)調(diào)查時,從留存于硬盤上的多個iTunes備份中提取了涉案人員手機(jī)備份中的微信、line、短信、通訊錄、備忘錄等大量文本、圖片、音視頻信息,為案件調(diào)查提供了有用的線索。
同時,在取證過程中也碰到了因關(guān)鍵性文件缺失導(dǎo)致大量密文數(shù)據(jù)無法轉(zhuǎn)換恢復(fù)的窘境,面對近在眼前的數(shù)據(jù)卻無法探其究竟,心中雖有不甘,但作為取證調(diào)查人員,仍必須尊重客觀事實。為此,我們針對iTunes備份、恢復(fù)機(jī)理和取證方法做了專門的研究,為iTunes備份取證做一個相對完整的規(guī)范和操作流程。
本文非純技術(shù)內(nèi)容,主要面對企事業(yè)單位內(nèi)審、監(jiān)察等一般調(diào)查人員,以通俗的科普形式,對iTunes取證分析做一個較為完整的介紹性闡述,拋磚引玉,僅供調(diào)查工作參考使用。
iTunes是蘋果公司2001年1月10日推出的一款供Mac和PC使用的數(shù)字媒體播放、管理程序,發(fā)展至今,已成為蘋果iphone、ipad、ipod、ibook、imac等設(shè)備必備的配套軟件。
除了數(shù)字媒體播放管理功能,iTunes還提供了一項重要功能,對iphone、ipad等設(shè)備的配置信息、應(yīng)用軟件進(jìn)行數(shù)據(jù)備份。
iTunes在連接設(shè)備并進(jìn)行第一次同步的時候,會自動進(jìn)行備份,如果iDevice一直連著電腦反復(fù)進(jìn)行同步,只有第一次同步會自動進(jìn)行備份,此后的備份需要手動啟動。無論是自動還是手動備份,都可以隨時取消,如果覺得在同步時備份花費時間太長,可以在同步開始,出現(xiàn)備份字樣時,點相應(yīng)的關(guān)閉或取消按鈕。(這也是為什么某些送檢計算機(jī)上存有不完整備份的原因:使用人iphone首次連接PC,第一次同步時,自動備份啟動,隨后使用人選擇了取消。)
iTunes備份iPhone的內(nèi)容有:短信,彩信(含圖片),聯(lián)系人,日歷,備忘錄,相機(jī)膠卷,通話記錄,個人收藏,聲音、郵件、Safari,app、網(wǎng)絡(luò)(Wi-Fi、蜂窩數(shù)據(jù)網(wǎng)、VPN等)等設(shè)置及其它配置信息(輸入法、系統(tǒng)界面語言等)。
▲ iTunes并不備份APP本身,若APP被卸載后從備份恢復(fù),APP需再次安裝,而不會自動出現(xiàn);
▲ iTunes備份必須通過第三方工具查看; ▲ iTunes只備份通過其本身對iPhone進(jìn)行的操作和特定目錄內(nèi)容,使用第三方工具(如××助手之類)安裝的程序或創(chuàng)建目錄中的文件,iTunes不會備份; ▲ iTunes生成的備份可以恢復(fù)到任何一個iDevice,如其他的iPhone、iPad等。 iTunes在不同操作系統(tǒng)中有不同的存儲路徑,在未進(jìn)行人為設(shè)置的情況下,一般情況下,備份文件夾默認(rèn)存儲在以下路徑: Mac: ~/Library/Application Support/MobileSync/Backup/ Windows XP: \Documents and Settings\<用戶名>\Application Data\Apple Computer\MobileSync\Backup\ Windows Vista以上版本: \Users\<用戶名>\AppData\Roaming\Apple Computer\MobileSync\Backup\ iTunes對iDevice進(jìn)行備份時,會在上述文件夾中生成一個子文件夾,文件夾以iDevice的UDID(Unique Device Identifier唯一設(shè)備標(biāo)識符)命名,長度為40個字符,同一設(shè)備的不同備份的文件夾名稱均以UDID開頭,但后續(xù)備份的文件夾會在UDID后添加備份的ISO日期和時間用以區(qū)別。如下圖所示:
一個完整備份的文件夾中,應(yīng)包含4個主要文件(注:新舊版本的iTunes備份文件夾結(jié)構(gòu)略有不同,此處僅列舉非加密版本備份的通常情況,不代表所有iTunes版本的備份),這些文件儲存了一個完整備份幾乎所有重要的信息:
Info.plist-存儲iDevice設(shè)備信息,包括電話號碼,ICCID,IMEI等。
Manifest.mdbd-存儲有關(guān)備份文件的信息,包括:域、路徑、文件大小、MAC時間等。
Manifest.plist-存儲有關(guān)備份內(nèi)容的信息,包括設(shè)備上安裝的應(yīng)用程序列表等。
Status.plist-存儲有關(guān)備份過程的信息,從中可以看出備份是否成功。
當(dāng)然,備份文件夾同時包含了備份文件本身,即上文提到的短信,彩信(含圖片),聯(lián)系人,日歷,備忘錄,相機(jī)膠卷,通話記錄,個人收藏,聲音、郵件、Safari,app、網(wǎng)絡(luò)等個人設(shè)置、數(shù)據(jù)和其它配置信息。
需要注意的是,通過iTunes備份后的文件名將被改成由其名稱SHA-1哈希、路徑和域組成的一個字符串,且去掉了文件擴(kuò)展名。因此,在windows系統(tǒng)中,單從備份文件的名稱無法識別究竟是什么文件,必須通過查看文件頭才能識別。
(二進(jìn)制編輯器中顯示文件為一個sqlite3數(shù)據(jù)庫文件)
如此命名的方式,從理論上來講的確存在hash沖突的可能性,但蘋果公司仍然采取這種方式,也許是認(rèn)為這種可能性微乎其微,不會在實際應(yīng)用中發(fā)生。
加密的iTunes備份和未加密的iTunes備份有很大的區(qū)別,在某種程度上,對于專家來說,受密碼保護(hù)的備份比沒有受密碼的備份更有價值。關(guān)于備份加密,蘋果公司的說法如下:
iTunes的加密備份功能可以鎖定和編碼用戶信息,加密iTunes的備份范圍也有所擴(kuò)展,如保存的密碼、無線網(wǎng)絡(luò)設(shè)置、網(wǎng)站歷史、健康數(shù)據(jù)等。
蘋果公司的算法安全度極高,使加密后的數(shù)據(jù)對任何知道確切加密方法的攻擊者來說仍然是安全的,雖然加密和未加密備份中都保存了iOS鑰匙串,但未加密備份的iOS鑰匙串是以指定設(shè)備的密鑰進(jìn)行加密的,因此只能從該特定設(shè)備進(jìn)行解密,密碼驗證由iDevice通過iOS內(nèi)核完成,而不是在iTunes中完成。這意味著無法在沒有密碼的情況下將加密iOS備份恢復(fù)到任何其他設(shè)備。
通俗點說,如果只是獲得了在PC上保存的iTunes加密備份,若不能取得原iDevice設(shè)備,破解僅存在理論上的可行性,根據(jù)目前已知計算機(jī)的算力,高端GPU每秒只能嘗試100-150個密鑰,若想通過暴力破解,所用時間可能會長達(dá)幾年到幾十年不等,幾乎是不可能完成的任務(wù)。
通過上述分析,我們知道了iTunes備份的基本原則,也了解到加密備份的安全性問題,對于iTunes備份數(shù)據(jù)取證來說,這些都是繞不過的核心問題。
1.加密備份
根據(jù)iTunes備份的技術(shù)特征,加密備份需在取得并掌握原備份iDevice密碼的前提下才能進(jìn)行解密和數(shù)據(jù)解析。
2.未加密備份
使用各類專業(yè)取證軟件,或iBackupBot等第三方小工具,可以對iTunes備份進(jìn)行解析、修改等操作。
3.不完整備份
上文中提到,用戶第一次將iDevice連接到iTunes時,會自動開始備份進(jìn)程,如果用戶不希望進(jìn)行備份,必須手動取消。正是因為這個功能,在電子數(shù)據(jù)取證中,經(jīng)常會發(fā)現(xiàn)PC上存留有iTunes備份文件夾。
由于用戶的取消,此類iTunes備份無法通過常規(guī)工具進(jìn)行數(shù)據(jù)解析,因此我們需要進(jìn)行一定的判斷。Info.plist、Manifest.mdbd、Manifest.plist、Status.plist這4個文件,等于一個索引,缺失的話就無法用工具軟件取證,只能通過二進(jìn)制文件頭進(jìn)行辨識。我們可以手動查看每個文件,也可以通過一些簡單的腳本,把沒有后綴名的各類文件按照文件頭標(biāo)識自動添加相應(yīng)的后綴名進(jìn)行歸類,方便查看。
我們可能會遇到這樣的場景,取得了被調(diào)查對象的iphone,而iphone是加密的。這種情況下,除了強(qiáng)行破解外看似毫無辦法。而強(qiáng)行破解在一方面會破壞原始介質(zhì)的數(shù)據(jù)完整性,另一方面則是技術(shù)門檻太高,無形中提高了調(diào)查成本。
那有沒有什么其他途徑可以嘗試呢?答案是有的——還是今天的主角——iTunes備份。
iphone的使用者,基本上都會用到itunes,現(xiàn)場調(diào)查應(yīng)該特別留意獲取iphone使用者的PC設(shè)備,其中很有很可能就存有破解iphone密碼的“鑰匙”。
因為在創(chuàng)建備份時,iTunes會使用十六進(jìn)制編碼的SHA1哈希文件名存儲備份文件,并將它們列在備份的plisht文件中。如果在調(diào)查對象的筆記本電腦存有iTunes備份,那么備份中的plist文件就可能是我們進(jìn)一步取證的一個關(guān)鍵突破點。
通過plist通??梢垣@取到相應(yīng)的iDevice列表,它可以用來在取證軟件和被調(diào)查的iphone等設(shè)備之間建立“信任”關(guān)系。此時,我們就可以使用iTunes從嫌疑人的iPhone中直接備份數(shù)據(jù),而無需在原始iphone上進(jìn)行包括解鎖在內(nèi)的任何操作。
備份完成后,進(jìn)一步將iTunes備份完整地還原到另一部iphone中,這樣,我們就能在沒有密碼的情況下進(jìn)入iphone了。
電子取證往往要結(jié)合多種調(diào)查和技術(shù)手段,面對問題,只要有探索的精神,就可能在看似不可能的困境下,取得出人意料的突破。
參考文獻(xiàn):
https://www.theiphonewiki.com/wiki/ITunes_Backup
https://www.cnblogs.com/pieces0310/p/4945571.html
作者:周曉鳴
編輯:蘑菇菇
文章來源:“內(nèi)控和反舞弊研究”微信公眾號。
? 2019-2021 All rights reserved. 北京轉(zhuǎn)創(chuàng)國際管理咨詢有限公司 京ICP備19055770號-1
Beijing TransVenture International Management Consulting Co., Ltd.
地址:北京市大興區(qū)新源大街25號院恒大未來城7號樓1102室
北京市豐臺區(qū)南四環(huán)西路128號諾德中心2號樓5層
北京市海淀區(qū)西禪寺(華北項目部)
深圳市南山區(qū)高新科技園南區(qū)R2-B棟4樓12室
深圳市福田區(qū)華能大廈
佛山順德區(qū)北滘工業(yè)大道云創(chuàng)空間
汕頭市龍湖區(qū)泰星路9號壹品灣三區(qū)
長沙市芙蓉區(qū)韶山北路139號文化大廈
梅州市豐順縣大潤發(fā)大廈
站點地圖 網(wǎng)站建設(shè):騰虎網(wǎng)絡(luò)
歡迎來到本網(wǎng)站,請問有什么可以幫您?
稍后再說 現(xiàn)在咨詢 肥东县| 专栏| 博爱县| 定远县| 霍林郭勒市| 左云县| 甘洛县| 定襄县| 斗六市| 高平市|