如何从iOS中捕获TAR文件

xiaohui 移动安全 2018年9月28日发布
Favorite收藏

导语:自从iPhone 5s(苹果首款64位iPhone)问世以来,物理取证就变得异常困难。对于配备Apple 64位处理器的所有iPhone和iPad设备,由于它们采取了全磁盘加密技术,物理取证只能通过文件系统提取进行。

自从iPhone 5s(苹果首款64位iPhone)问世以来,物理取证就变得异常困难。对于配备Apple 64位处理器的所有iPhone和iPad设备,由于它们采取了全磁盘加密技术,物理取证只能通过文件系统提取进行。即使经过越狱的设备,也必须在设备上运行tarball命令才能绕过加密。由于文件系统映像是由iOS捕获和打包的,因此无论执行物理取证时,使用何种工具。你都会得到完全相同的TAR文件。无论你使用的是iOS Forensic Toolkit工具还是GrayKey(一个破解iPhone的工具),你都会获取与设备文件系统映像完全相同的TAR文档。

虽然TAR只是UNIX操作系统中的未压缩文档,但这对于移动取证专家来说,却是非常重要的。

TAR文件包含一些什么信息?

使用Elcomsoft Phone Viewer,取证人员可以访问通话记录,联系人和消息数据库,通知,浏览记录以及当然位置数据。

使用Elcomsoft Phone Viewer,除了你在备份文档中看到的内容之外,你还可以获得以下所有的内容。

1.通知内容:在iOS 11之前,那些未被删除的通知也会出现在备份文件中,但在iOS 11之后,备份文件中是不会保留它们的。

2.应用信息:在iOS中,开发人员可以控制要备份的信息。即使他们选择允许备份开发人员也可能选择只对同一台设备提供数据,这意味着应用将使用硬件密钥进行加密,即使进行越狱也不可能破解。TAR文件可以通过允许不受限制的访问应用程序的沙盒数据,来解决此问题。 Elcomsoft Phone Viewer会显示已安装的软件包列表,并显示每个应用程序数据的确切位置。

3.位置信息:与备份信息相比,你可以在TAR文件中看到更多的位置数据。

说到位置,Elcomsoft Phone Viewer 3.70可以从大量的信息来源中提取位置数据。目前位置信息来源包括:重要的位置点、3G / LTE / Wi-Fi连接缓存中的位置信息、Apple地图、谷歌地图、 媒体文件中的EXIF、日历活动记录、UBER应用程序。

通过访问从各种来源收集的位置数据,你不再仅限于从位置日志收集的证据。不过有些信息来源仅适用于物理提取(比如TAR文件),并且某些数据在分析备份时可能会受到限制。

在分析位置数据时,请注意,你不能盲目信任Elcomsoft Phone Viewer 3.70工具所获取的报告的所有内容。例如,该工具将从设备上的所有映像中提取位置信息,而不仅仅是该设备捕获的映像。使用该工具的用户可以以电子邮件或即时消息附件的形式接收映像,并且日历活动记录可以自动添加,而无需用户设置。缓存的位置信息则会列出最近的基站的近似坐标,而Wi-Fi坐标是基于访问点的MAC地址的第三方服务检索的,这个数据的准确性,目前还存在争论。最后,Apple地图和谷歌地图的位置信息,都是用闭源算法得出的。尽管没有时间戳,但是,Apple地图和谷歌地图的位置信息还是用户实际位置的更可靠指标之一。

如何使Elcomsoft Phone Viewer 3.70分析TAR文件?

有了足够的理论,让我们看看如何在最新的Elcomsoft Phone Viewer 3.70中打开的TAR文件。

标准版无法打开TAR文件,很明显,你还需要使用Elcomsoft iOS Forensic Toolkit或GrayKey在物理提取过程中获得的TAR文件。

启动Elcomsoft Phone Viewer 3.70,与以前的版本相比,你会看到一个新的图标,显示“iOS设备映像”,点击它打开一个TAR文件。

1.png

选择TAR文件,打开该文件时,你就会看到一个提示信息,询问你是否要扫描Camera Roll以外的位置,以查找可能包含位置数据的媒体文件。根据获取文件的数量,打开TAR文件所需的时间可能会不同。

2.png

此时,获取文件就会被打开,打开一张11GB映像需要大约2分钟的时间。

3.png

该文件被打开后,Elcomsoft Phone Viewer 3.70就会开始从中发现和索引证据。这可能需要几分钟的时间。

4.png

请注意,这是由于数据的后台处理造成的。一旦打开相应的类别,EPV将解析条目的数量。

5.png

首先会显示已安装的应用列表:

6.png

如果你的计算机可以联网,则该工具会提示你,它会将软件包名称与iTunes数据库相匹配。这么做,是为了查看应用程序的实际名称,而不是包的名称。

如果要访问特定应用程序的数据集,请滚动到最右边的那一列,其中包含有关TAR文档中应用程序数据集的完整路径信息。

7.png

位置信息如下:

8.png

如你所见,该工具汇总来自多个来源的位置数据,包括日志,媒体文件中的地理标记甚至日历活动:

9.png

如果你点击下图中的坐标信息,地图将会打开。

10.png

此外,你可以分析用户的Safari书签和浏览历史记录,通知,通话记录和消息等等,如下图所示。

11.png

本文翻译自:https://blog.elcomsoft.com/2018/06/the-ios-file-system-tar-and-aggregated-locations-analysis/如若转载,请注明原文地址: http://www.4hou.com/mobile/13757.html
点赞 3
iOS
  • 分享至
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

发表评论