回归最本质的信息安全

;

如何从iOS文件系统TAR包中取证,提取用户位置信息

2018年6月14日发布

47,615
0
6

导语:虽然TAR只是UNIX操作系统中的未压缩文档,但这对于移动取证专家来说,却是非常重要的。因为他们可以从iOS文件系统TAR包中取证,提取用户位置信息。

timg.jpg

虽然TAR只是UNIX操作系统中的未压缩文档,但这对于移动取证专家来说,却是非常重要的。

自从iPhone 5s(苹果首款64位iPhone)问世以来,物理取证就变得异常困难。对于配备Apple 64位处理器的所有iPhone和iPad设备,由于它们采取了全磁盘加密技术,物理取证只能通过文件系统提取进行。即使经过越狱的设备,也必须在设备上运行tarball命令才能绕过加密。由于文件系统映像是由iOS捕获和打包的,因此无论执行物理取证时,使用何种工具。你都会得到完全相同的TAR文件。无论你使用的是iOS Forensic Toolkit工具还是GrayKey(一个破解iPhone的工具),你都会获取与设备文件系统映像完全相同的TAR文档。

经常我会被问到的一个问题是:“我们可以用获取的TAR文件,得到一些什么信息?”到目前为止,大多数可用于分析这些TAR映像内信息的工具,都只是功能齐全的取证工具包中的一个小工具。你的选择仅限于是选择耗时耗力的人工分析,或者是使用高度复杂的自动化取证工具套件,除此之外,你别无选择。

不过自从Elcomsoft Phone Viewer 3.70出现后,该工具就提供了一个完美的替代手动分析和复杂工具套件的方案。使用Elcomsoft Phone Viewer,取证人员可以访问通话记录,联系人和消息数据库,通知,浏览记录以及当然位置数据。

为什么TAR文件对取证很重要?

与逻辑取证相比,物理取证则提供了许多实实在在的好处。至少,除了你在备份文档中看到的内容之外,你还可以获得以下所有的内容。

1.通知内容:在iOS 11之前,那些未被删除的通知也会出现在备份文件中,但在iOS 11之后,备份文件中是不会保留它们的。所以今天,你只能从TAR文件中提取通知。通知可能包含一些重要的证据,而这些证据在其他情况下是无法获得的,比如来自电子邮件账户、社交网络、银行和旅行应用、出租车应用等。

2.应用信息:在iOS中,开发人员可以控制要备份的信息。即使他们选择允许备份,开发人员也可能选择只对同一台设备提供数据,这意味着应用将使用硬件密钥进行加密,即使进行越狱也不可能破解。TAR文件可以通过允许不受限制地访问应用程序的沙盒数据,来解决此问题。Elcomsoft Phone Viewer会显示已安装的软件包列表,并显示每个应用程序数据的确切位置。

3.位置信息:与备份信息相比,你可以在TAR文件中看到更多的位置数据。

说到位置,Elcomsoft Phone Viewer 3.70可以从大量的信息来源中提取位置数据。目前位置信息来源包括:

3.1 重要的位置点

3.2 3G/LTE/Wi-Fi连接缓存中的位置信息;

3.3 Apple地图;

3.4 谷歌地图;

3.5 媒体文件中的EXIF,包括用于捕获映像设备的ID;

3.6 日历活动记录,包括活动链接;

3.7 UBER应用程序

通过访问从各种来源收集的位置数据,你不再仅限于从位置日志收集的证据。不过有些信息来源仅适用于物理提取(比如TAR文件),并且某些数据在分析备份时可能会受到限制。

位置信息也可以“说谎”

在分析位置数据时,请注意,你不能盲目信任Elcomsoft Phone Viewer 3.70工具所获取的报告的所有内容。例如,该工具将从设备上的所有映像中提取位置信息,而不仅仅是该设备捕获的映像。使用该工具的用户可以以电子邮件或即时消息附件的形式接收映像,并且日历活动记录可以自动添加,而无需用户设置。缓存的位置信息则会列出最近的基站的近似坐标,而Wi-Fi坐标是基于访问点的MAC地址的第三方服务检索的,这个数据的准确性,目前还存在争论。最后,Apple地图和谷歌地图的位置信息,都是用闭源算法得出的。尽管没有时间戳,但是,Apple地图和谷歌地图的位置信息还是用户实际位置的更可靠指标之一。

如何使Elcomsoft Phone Viewer 3.70分析TAR文件?

有了足够的理论,让我们看看如何在最新的Elcomsoft Phone Viewer 3.70中打开的TAR文件。

在开始之前,请确保Elcomsoft Phone Viewer的版本,该软件可以单独购买,并且包含在Elcomsoft Mobile Forensic Bundle中。标准版无法打开TAR文件,很明显,你还需要使用Elcomsoft iOS Forensic Toolkit或GrayKey在物理提取过程中获得的TAR文件。

启动Elcomsoft Phone Viewer 3.70,与以前的版本相比,你会看到一个新的图标,显示“iOS设备映像”,点击它打开一个TAR文件。

epv01.png

选择TAR文件,打开该文件时,你就会看到一个提示信息,询问你是否要扫描Camera Roll以外的位置,以查找可能包含位置数据的媒体文件。根据获取文件的数量,打开TAR文件所需的时间可能会不同。

epv02.png

此时,获取文件就会被打开,打开一张11 GB映像需要大约2分钟的时间。

3.png

该文件被打开后,Elcomsoft Phone Viewer 3.70就会开始从中发现和索引证据。这可能需要几分钟的时间。

4.png

最后,你将能够获取你所需要的证据!如果你关心的是一个或多个问号,而不是项的数量,例如下面示例中的“位置”前面的问号。请注意,这是由于数据的后台处理造成的。一旦打开相应的类别,EPV将解析条目的数量。

5.png

首先会显示已安装的应用列表:

6.png

如果你的计算机可以联网,则该工具会提示你,它会将软件包名称与iTunes数据库相匹配。这么做,是为了查看应用程序的实际名称,而不是包的名称。

如果要访问特定应用程序的数据集,请滚动到最右边的那一列,其中包含有关TAR文档中应用程序数据集的完整路径信息。

7.png

位置信息如下:

8.png

如你所见,该工具汇总来自多个来源的位置数据,包括日志,媒体文件中的地理标记甚至日历活动:

9.png

如果你点击下图中的坐标信息,地图将会打开。

10.png

此外,你可以分析用户的Safari书签和浏览历史记录,通知,通话记录和消息等等,如下图所示。

11.png

本文翻译自:https://blog.elcomsoft.com/2018/06/the-ios-file-system-tar-and-aggregated-locations-analysis/如若转载,请注明原文地址: http://www.4hou.com/mobile/12052.html

点赞 6
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

lucywang

这个人很懒,什么也没留下

发私信

发表评论