免费韩漫无遮漫画,欧美Z0ZO人禽交欧美人禽交 ,男人激烈吮乳吃奶视频免费,GAY男同GV网站播放免费


管理培訓(xùn)搜索
18318889481 13681114876

合規(guī)
| 反舞弊調(diào)查中,如何針對iTunes備份進(jìn)行取證分析當(dāng)前您所在的位置:首頁 > 合規(guī) > 反洗錢中心 > 舞弊新聞

image.png

image.png

iTunes備份是電子數(shù)據(jù)調(diào)查人員在工作中常見的重要數(shù)據(jù),在最近一起反舞弊調(diào)查的案子中,筆者在對涉案人員使用的PC進(jìn)行電子數(shù)據(jù)調(diào)查時,從留存于硬盤上的多個iTunes備份中提取了涉案人員手機(jī)備份中的微信、line、短信、通訊錄、備忘錄等大量文本、圖片、音視頻信息,為案件調(diào)查提供了有用的線索。


同時,在取證過程中也碰到了因關(guān)鍵性文件缺失導(dǎo)致大量密文數(shù)據(jù)無法轉(zhuǎn)換恢復(fù)的窘境,面對近在眼前的數(shù)據(jù)卻無法探其究竟,心中雖有不甘,但作為取證調(diào)查人員,仍必須尊重客觀事實。為此,我們針對iTunes備份、恢復(fù)機(jī)理和取證方法做了專門的研究,為iTunes備份取證做一個相對完整的規(guī)范和操作流程。


本文非純技術(shù)內(nèi)容,主要面對企事業(yè)單位內(nèi)審、監(jiān)察等一般調(diào)查人員,以通俗的科普形式,對iTunes取證分析做一個較為完整的介紹性闡述,拋磚引玉,僅供調(diào)查工作參考使用。


image.png

iTunes是蘋果公司2001年1月10日推出的一款供Mac和PC使用的數(shù)字媒體播放、管理程序,發(fā)展至今,已成為蘋果iphone、ipad、ipod、ibook、imac等設(shè)備必備的配套軟件。


除了數(shù)字媒體播放管理功能,iTunes還提供了一項重要功能,對iphone、ipad等設(shè)備的配置信息、應(yīng)用軟件進(jìn)行數(shù)據(jù)備份。


iTunes在連接設(shè)備并進(jìn)行第一次同步的時候,會自動進(jìn)行備份,如果iDevice一直連著電腦反復(fù)進(jìn)行同步,只有第一次同步會自動進(jìn)行備份,此后的備份需要手動啟動。無論是自動還是手動備份,都可以隨時取消,如果覺得在同步時備份花費時間太長,可以在同步開始,出現(xiàn)備份字樣時,點相應(yīng)的關(guān)閉或取消按鈕。(這也是為什么某些送檢計算機(jī)上存有不完整備份的原因:使用人iphone首次連接PC,第一次同步時,自動備份啟動,隨后使用人選擇了取消。)


iTunes備份iPhone的內(nèi)容有:短信,彩信(含圖片),聯(lián)系人,日歷,備忘錄,相機(jī)膠卷,通話記錄,個人收藏,聲音、郵件、Safari,app、網(wǎng)絡(luò)(Wi-Fi、蜂窩數(shù)據(jù)網(wǎng)、VPN等)等設(shè)置及其它配置信息(輸入法、系統(tǒng)界面語言等)。


image.png

▲ iTunes并不備份APP本身,若APP被卸載后從備份恢復(fù),APP需再次安裝,而不會自動出現(xiàn);



▲ iTunes備份必須通過第三方工具查看;


▲ iTunes只備份通過其本身對iPhone進(jìn)行的操作和特定目錄內(nèi)容,使用第三方工具(如××助手之類)安裝的程序或創(chuàng)建目錄中的文件,iTunes不會備份;


▲ iTunes生成的備份可以恢復(fù)到任何一個iDevice,如其他的iPhone、iPad等。


image.png

iTunes在不同操作系統(tǒng)中有不同的存儲路徑,在未進(jìn)行人為設(shè)置的情況下,一般情況下,備份文件夾默認(rèn)存儲在以下路徑:


Mac:

~/Library/Application Support/MobileSync/Backup/


Windows XP:

\Documents and Settings\<用戶名>\Application Data\Apple Computer\MobileSync\Backup\


Windows Vista以上版本:

\Users\<用戶名>\AppData\Roaming\Apple Computer\MobileSync\Backup\


iTunes對iDevice進(jìn)行備份時,會在上述文件夾中生成一個子文件夾,文件夾以iDevice的UDID(Unique Device Identifier唯一設(shè)備標(biāo)識符)命名,長度為40個字符,同一設(shè)備的不同備份的文件夾名稱均以UDID開頭,但后續(xù)備份的文件夾會在UDID后添加備份的ISO日期和時間用以區(qū)別。如下圖所示:


image.png



一個完整備份的文件夾中,應(yīng)包含4個主要文件(注:新舊版本的iTunes備份文件夾結(jié)構(gòu)略有不同,此處僅列舉非加密版本備份的通常情況,不代表所有iTunes版本的備份),這些文件儲存了一個完整備份幾乎所有重要的信息:


Info.plist-存儲iDevice設(shè)備信息,包括電話號碼,ICCID,IMEI等。


Manifest.mdbd-存儲有關(guān)備份文件的信息,包括:域、路徑、文件大小、MAC時間等。


Manifest.plist-存儲有關(guān)備份內(nèi)容的信息,包括設(shè)備上安裝的應(yīng)用程序列表等。


Status.plist-存儲有關(guān)備份過程的信息,從中可以看出備份是否成功。


當(dāng)然,備份文件夾同時包含了備份文件本身,即上文提到的短信,彩信(含圖片),聯(lián)系人,日歷,備忘錄,相機(jī)膠卷,通話記錄,個人收藏,聲音、郵件、Safari,app、網(wǎng)絡(luò)等個人設(shè)置、數(shù)據(jù)和其它配置信息。


需要注意的是,通過iTunes備份后的文件名將被改成由其名稱SHA-1哈希、路徑和域組成的一個字符串,且去掉了文件擴(kuò)展名。因此,在windows系統(tǒng)中,單從備份文件的名稱無法識別究竟是什么文件,必須通過查看文件頭才能識別。

image.png

(二進(jìn)制編輯器中顯示文件為一個sqlite3數(shù)據(jù)庫文件)


如此命名的方式,從理論上來講的確存在hash沖突的可能性,但蘋果公司仍然采取這種方式,也許是認(rèn)為這種可能性微乎其微,不會在實際應(yīng)用中發(fā)生。


image.png


加密的iTunes備份和未加密的iTunes備份有很大的區(qū)別,在某種程度上,對于專家來說,受密碼保護(hù)的備份比沒有受密碼的備份更有價值。關(guān)于備份加密,蘋果公司的說法如下:


iTunes的加密備份功能可以鎖定和編碼用戶信息,加密iTunes的備份范圍也有所擴(kuò)展,如保存的密碼、無線網(wǎng)絡(luò)設(shè)置、網(wǎng)站歷史、健康數(shù)據(jù)等。


蘋果公司的算法安全度極高,使加密后的數(shù)據(jù)對任何知道確切加密方法的攻擊者來說仍然是安全的,雖然加密和未加密備份中都保存了iOS鑰匙串,但未加密備份的iOS鑰匙串是以指定設(shè)備的密鑰進(jìn)行加密的,因此只能從該特定設(shè)備進(jìn)行解密,密碼驗證由iDevice通過iOS內(nèi)核完成,而不是在iTunes中完成。這意味著無法在沒有密碼的情況下將加密iOS備份恢復(fù)到任何其他設(shè)備。


通俗點說,如果只是獲得了在PC上保存的iTunes加密備份,若不能取得原iDevice設(shè)備,破解僅存在理論上的可行性,根據(jù)目前已知計算機(jī)的算力,高端GPU每秒只能嘗試100-150個密鑰,若想通過暴力破解,所用時間可能會長達(dá)幾年到幾十年不等,幾乎是不可能完成的任務(wù)。


image.png

通過上述分析,我們知道了iTunes備份的基本原則,也了解到加密備份的安全性問題,對于iTunes備份數(shù)據(jù)取證來說,這些都是繞不過的核心問題。


1.加密備份


根據(jù)iTunes備份的技術(shù)特征,加密備份需在取得并掌握原備份iDevice密碼的前提下才能進(jìn)行解密和數(shù)據(jù)解析。


2.未加密備份


使用各類專業(yè)取證軟件,或iBackupBot等第三方小工具,可以對iTunes備份進(jìn)行解析、修改等操作。


3.不完整備份


上文中提到,用戶第一次將iDevice連接到iTunes時,會自動開始備份進(jìn)程,如果用戶不希望進(jìn)行備份,必須手動取消。正是因為這個功能,在電子數(shù)據(jù)取證中,經(jīng)常會發(fā)現(xiàn)PC上存留有iTunes備份文件夾。


由于用戶的取消,此類iTunes備份無法通過常規(guī)工具進(jìn)行數(shù)據(jù)解析,因此我們需要進(jìn)行一定的判斷。Info.plist、Manifest.mdbd、Manifest.plist、Status.plist這4個文件,等于一個索引,缺失的話就無法用工具軟件取證,只能通過二進(jìn)制文件頭進(jìn)行辨識。我們可以手動查看每個文件,也可以通過一些簡單的腳本,把沒有后綴名的各類文件按照文件頭標(biāo)識自動添加相應(yīng)的后綴名進(jìn)行歸類,方便查看。


image.png


我們可能會遇到這樣的場景,取得了被調(diào)查對象的iphone,而iphone是加密的。這種情況下,除了強(qiáng)行破解外看似毫無辦法。而強(qiáng)行破解在一方面會破壞原始介質(zhì)的數(shù)據(jù)完整性,另一方面則是技術(shù)門檻太高,無形中提高了調(diào)查成本。


那有沒有什么其他途徑可以嘗試呢?答案是有的——還是今天的主角——iTunes備份。


iphone的使用者,基本上都會用到itunes,現(xiàn)場調(diào)查應(yīng)該特別留意獲取iphone使用者的PC設(shè)備,其中很有很可能就存有破解iphone密碼的“鑰匙”。


因為在創(chuàng)建備份時,iTunes會使用十六進(jìn)制編碼的SHA1哈希文件名存儲備份文件,并將它們列在備份的plisht文件中。如果在調(diào)查對象的筆記本電腦存有iTunes備份,那么備份中的plist文件就可能是我們進(jìn)一步取證的一個關(guān)鍵突破點。


通過plist通??梢垣@取到相應(yīng)的iDevice列表,它可以用來在取證軟件和被調(diào)查的iphone等設(shè)備之間建立“信任”關(guān)系。此時,我們就可以使用iTunes從嫌疑人的iPhone中直接備份數(shù)據(jù),而無需在原始iphone上進(jìn)行包括解鎖在內(nèi)的任何操作。


備份完成后,進(jìn)一步將iTunes備份完整地還原到另一部iphone中,這樣,我們就能在沒有密碼的情況下進(jìn)入iphone了。


電子取證往往要結(jié)合多種調(diào)查和技術(shù)手段,面對問題,只要有探索的精神,就可能在看似不可能的困境下,取得出人意料的突破。


參考文獻(xiàn):

https://www.theiphonewiki.com/wiki/ITunes_Backup

https://www.cnblogs.com/pieces0310/p/4945571.html


作者:周曉鳴

編輯:蘑菇菇


 文章來源:“內(nèi)控和反舞弊研究”微信公眾號。


TESG
企業(yè)概況
聯(lián)系我們
專家顧問
企業(yè)文化
黨風(fēng)建設(shè)
核心團(tuán)隊
資質(zhì)榮譽(yù)
合規(guī)監(jiān)管
部門職責(zé)
轉(zhuǎn)創(chuàng)中國
加入轉(zhuǎn)創(chuàng)
經(jīng)濟(jì)合作
智庫專家
質(zhì)量保證
咨詢流程
聯(lián)系我們
咨詢
IPO咨詢
投融資咨詢
會計服務(wù)
績效管理
審計和風(fēng)險控制
競爭戰(zhàn)略
審計與鑒證、估價
企業(yè)管理咨詢
人力資源戰(zhàn)略與規(guī)劃
融資與并購財務(wù)顧問服務(wù)
投資銀行
企業(yè)文化建設(shè)
財務(wù)交易咨詢
資本市場及會計咨詢服務(wù)
創(chuàng)業(yè)與私營企業(yè)服務(wù)
公司治理、合規(guī)與反舞弊
國企改革
價值辦公室
集團(tuán)管控
家族企業(yè)管理
服務(wù)
數(shù)據(jù)分析
資信評估
投資咨詢
風(fēng)險及控制服務(wù)
管理咨詢
轉(zhuǎn)型升級服務(wù)
可行性研究咨詢服務(wù)
民企與私人客戶服務(wù)
解決方案
內(nèi)控
稅收內(nèi)部控制
稅收風(fēng)險管理
內(nèi)控管理師
內(nèi)部控制咨詢
信用研究
信用法制中心
風(fēng)險與內(nèi)控咨詢
無形資產(chǎn)內(nèi)控
企業(yè)內(nèi)控審計
內(nèi)部控制服務(wù)
內(nèi)部控制評價
內(nèi)部控制體系建設(shè)
內(nèi)部控制智庫
上市公司內(nèi)控
上市公司獨立董事
投行
M&A
資本市場
SPAC
科創(chuàng)板
金融信息庫
IPO咨詢
北交所
ASX
SGX
HKEX
金融服務(wù)咨詢
信用評級
上海證券交易所
NYSE
深圳證券交易所
審計
審計資料下載
法證會計
審計事務(wù)
審計及鑒證服務(wù)
審計咨詢
反舞弊中心
內(nèi)部控制審計
內(nèi)部審計咨詢
國際審計
合規(guī)
銀行合規(guī)專題
合規(guī)管理建設(shè)年
海關(guān)與全球貿(mào)易合規(guī)
數(shù)據(jù)合規(guī)專題
反腐敗中心
反壟斷合規(guī)
反舞弊中心
國際制裁
企業(yè)合規(guī)中心
信用合規(guī)專題
證券合規(guī)專題
合規(guī)中心
金融合規(guī)服務(wù)
反洗錢中心
全球金融犯罪評論
行業(yè)
新基建
文化、體育和娛樂業(yè)
電信、媒體和技術(shù)(TMT)
投城交通事業(yè)部
房地產(chǎn)建筑工程
醫(yī)療衛(wèi)生和社會服務(wù)
可持續(xù)發(fā)展與環(huán)保
全球基礎(chǔ)材料
大消費事業(yè)部
金融服務(wù)業(yè)
化學(xué)工程與工業(yè)
一帶一路
智慧生活與消費物聯(lián)
數(shù)字經(jīng)濟(jì)發(fā)展與檢測
食品開發(fā)與營養(yǎng)
先進(jìn)制造事業(yè)部
能源資源與電力
消費與工業(yè)產(chǎn)品
運輸與物流
酒店旅游餐飲
科學(xué)研究與技術(shù)服務(wù)
政府及公共事務(wù)
化妝品與個人護(hù)理
一二三產(chǎn)融合
生物醫(yī)藥與大健康
新能源汽車與安全產(chǎn)業(yè)
法律
法律信息庫
稅法與涉稅服務(wù)
數(shù)字法治與網(wǎng)絡(luò)安全
勞動與人力資源法律
金融與資本市場法律
司法研究所
公司法專題
私募股權(quán)與投資基金
債務(wù)重組與清算/破產(chǎn)
轉(zhuǎn)創(chuàng)國際法律事務(wù)所
轉(zhuǎn)創(chuàng)法信事務(wù)所
財稅
法務(wù)會計
管理會計案例
決策的財務(wù)支持
家族資產(chǎn)和財富傳承
財稅法案例庫
資產(chǎn)評估
財稅信息庫
會計準(zhǔn)則
財務(wù)研究所
財政稅收
會計研究所
財稅實務(wù)
投資咨詢
財務(wù)管理咨詢
審計事務(wù)
管理
轉(zhuǎn)創(chuàng)智庫
金融研究所
企業(yè)管理研究所
中國企業(yè)國際化發(fā)展
經(jīng)濟(jì)與產(chǎn)業(yè)研究
公司治理
氣候變化與可持續(xù)
ESG中心
管理咨詢
轉(zhuǎn)創(chuàng)國際工程咨詢
轉(zhuǎn)創(chuàng)
咨詢業(yè)數(shù)據(jù)庫
轉(zhuǎn)創(chuàng)網(wǎng)校
生物醫(yī)藥信息庫
建筑工程庫
轉(zhuǎn)創(chuàng)首都
轉(zhuǎn)創(chuàng)教育與可持續(xù)發(fā)展
轉(zhuǎn)創(chuàng)國際廣東 官網(wǎng)
科研創(chuàng)服
中國轉(zhuǎn)創(chuàng)雜志社
創(chuàng)新創(chuàng)業(yè)
轉(zhuǎn)型升級
技術(shù)轉(zhuǎn)移中心
轉(zhuǎn)創(chuàng)中國
中外
粵港澳大灣區(qū)
中國-東盟
一帶一路
澳大利亞
俄羅斯
新加坡
英國
加拿大
新西蘭
香港
美國
中非平臺
開曼群島
法國
歐洲聯(lián)盟
印度
北美洲
18318889481 13681114876
在線QQ
在線留言
返回首頁
返回頂部
留言板
發(fā)送
肥东县| 专栏| 博爱县| 定远县| 霍林郭勒市| 左云县| 甘洛县| 定襄县| 斗六市| 高平市|