有没有想过一个问题,适用于移动设备的取证方法能否照搬到台式计算机上?

xiaohui Web安全 2019年8月14日发布
Favorite收藏

导语:在这篇文章中,我们将列出所有能够为智能手机数据提供信息的相关取证方法,并且这些方法适用于苹果iOS设备以及运行Android的智能手机。

关于移动取证,我们已经讲了很多了,且最新的进展是专家们正在分析智能手机本身是否可以访问云数据。然而,将搜索扩展到用户的台式机和笔记本电脑可能也有助于访问存储在物理智能手机和云中的数据。在这篇文章中,我们将列出所有能够为智能手机数据提供信息的相关取证方法,并且这些方法适用于苹果iOS设备以及运行Android的智能手机。

台式机和笔记本电脑上的相关取证方法

由于其容量巨大,计算机可能存储了比智能手机更多的证据。然而,与我们期望从现代智能手机中获得的带有时间戳和地理标记的使用数据相比,台式计算机中的数据将是一种不同与智能手机的证据。

用户的PC或Mac如何帮助移动取证专家?有几种类型的证据可以帮助我们从手机或云端检索数据。

1. iTunes备份,虽然这类证据是iphone特有的或者更确切地说,是苹果特有的,但是在用户的计算机上发现的本地备份可以成为非常宝贵的证据来源。

2. 保存的密码,通过即时提取存储在用户的Web浏览器(Chrome、Edge、IE或Safari)中的密码,可以构建一个用于破解加密的自定义字典。更重要的是,可以使用存储的凭证登录用户的iCloud或谷歌帐户并执行云提取。

3. 电子邮件帐户,电子邮件帐户可用于重置用户的Apple或谷歌帐户的密码(使用新凭据进行后续云提取)。

4. 身份验证令牌,这些可以用来访问用户iCloud帐户中的同步数据(令牌必须在用户的计算机上使用,在macOS上,可以提取可转移的不受限制的令牌)。另外,还有Google云端硬盘的令牌(可用于访问用户的Google云端硬盘帐户中的文件)和Google帐户(可用于从用户的Google帐户中提取大量数据)。计算机本身也是取证的来源,因为某些身份验证令牌“固定”在特定的硬件上,不能转移到其他设备上。如果计算机是“受信任的”设备,则可以使用它来绕过双因素身份验证。

iTunes备份

iPhone用户可以选择在Windows电脑上安装iTunes或者在Mac电脑上使用所述软件的内置版本。除此之外,iTunes还可以用来对iPhone进行定期或手动的本地备份。这些备份可以说是移动取证专家从用户电脑中收集的证据中最宝贵的部分。

与Android的剥离式ADB备份相比,Apple的iPhone拥有更好的本地备份系统,Apple在关于《iOS设备的备份》一文中对本地备份进行了全面的记录。

据苹果公司称:“iTunes备份几乎包括你设备的所有数据和设置”,另外根据我们的一贯经验,本地备份几乎包含恢复现有iPhone或安装新设备所需的所有内容。将文件和设置传输到另一台设备既快捷又简单,用户使用替换设备的体验与使用旧iPhone不会有太大的不同,甚至密码(iOS Keychain)也保存在本地备份中。

加密备份与未加密备份

用户可以选择使用密码保护本地备份,受密码保护的备份是安全加密的。为了解密这些备份,需要破解或恢复密码,密码恢复攻击很慢,在高端GPU上每秒只有100-150次尝试。

加密的iTunes备份和未加密的iTunes备份有很大的区别,在某种程度上,对于专家来说,受密码保护的备份比没有受密码的备份更有价值。关于备份加密,苹果公司的说法如下:

“iTunes的加密备份功能可以锁定和编码你的信息,另外加密的iTunes备份可以包括未加密的iTunes备份不包括的信息,比如你保存的密码、无线网络设置、网站历史、健康数据”

我们只能从加密备份中提取保存的密码(iOS钥匙串),未加密的iTunes备份仍然包含钥匙串。然而,不受保护备份中的钥匙串的内容是使用特定于设备的安全加密密钥进行加密,允许你在从中捕获备份的同一设备上解密内容。

从ios11开始,iTunes备份密码可以重置,要做到这一点,你需要一台iPhone和登录它的密码。从ios13开始,你需要使用密码在iTunes或iOS Forensic Toolkit中指定备份密码。

不过要注意的是,有些数据永远不会存储在本地备份中。

iTunes备份不包括:

1. 来自iTunes和应用程序商店的内容,或直接下载到Apple Books的PDF文件;

2. 从iTunes同步的内容,如导入的MP3或CD、视频、书籍和照片;

3. 已经存储在iCloud中的数据,如iCloud照片、imessage、文本(SMS)和多媒体(MMS)消息;

4. Face ID或Touch ID设置;

5. Apple Pay信息和设置;

6. Apple Mail数据;

7. 活动、健康状况和钥匙串数据(要备份此内容,你需要在iTunes中使用加密备份)。

哪里有保存的密码

用户的密码可以存储在他们的计算机上,由流行的Web浏览器缓存或保存在密码管理器应用程序中。可以使用存储的密码解锁BitLocker加密的硬盘,访问用户Google帐户中的iCloud数据和数据,破坏强加密或访问用户的全面位置历史记录。

在Windows中

在Windows系统中,一些最流行的具有保存密码功能的Web浏览器包括谷歌Chrome、Mozilla Firefox、Microsoft Edge和Internet Explorer以及Opera浏览器。在所有这些浏览器中,存储的密码只受到松散的保护。因此,可以使用Elcomsoft Internet Password Breaker轻松提取它们。解压缩密码后,你可以使用它们构建自定义字典来攻击加密文档或执行云提取。

要从用户的iCloud帐户中提取数据,请在Elcomsoft Phone Breaker中输入存储的身份验证凭据。

要从用户的谷歌帐户中提取数据,请在Elcomsoft Cloud Explorer中使用相应的身份验证凭据。

macOS

macOS将密码存储在钥匙串中,这样本地和第三方密码都将存储在钥匙串中,至少在谷歌Chrome中是这样。因此,访问密码需要提取和解密钥匙串。

现在,你可以使用Elcomsoft Phone Breaker(有Mac版本)从用户的iCloud帐户中提取数据。要从用户的谷歌帐户中提取数据,请在Elcomsoft Cloud Explorer中使用相应的身份验证凭据(用Mac版本)。

电子邮件帐户

通过身份验证的电子邮件客户端(如Outlook或Windows Mail)或通过身份验证的Web浏览器(如Gmail、Hotmail等)可用于请求重置其他用户帐户上的密码。请注意,这对于使用双因素身份验证的Apple ID帐户不起作用,另外它也不适用于Google帐户。不过,你仍然可以为其他帐户(如社交网络、聊天和即时消息帐户)请求重置密码。

锁定记录(Lockdown Record)

锁定记录或配对记录经常用于访问锁定的iOS设备。通过使用从嫌疑人电脑中提取的现有锁定记录,取证专家可以使用iOS Forensic Toolkit和其他取证工具对iOS设备进行逻辑提取。通过逻辑提取,专家可以提取本地备份,访问共享和媒体文件,甚至提取设备崩溃日志。

从用户的计算机中提取锁定记录可能为从锁定的iPhone中提取数据提供了机会。注意,只有当设备处于AFU(第一次解锁后)状态时才可以进行逻辑采集,这就是为什么需要始终保持设备开启的重要原因。

我们已经写了多篇关于锁定记录的文章,虽然其中一些的发表时间已经很长了,但其中的技术目前还是适用的。尤其是,苹果在iOS 11.3中增加了锁定期限,并在macOS中添加了具有访问控制权限的锁定文件。你可以参考以下5篇文章:

1. 拥有锁定记录的锁定iPhone

2. 苹果iTunes:独立版与微软商店版

3. 访问macOS上的锁定文件

4. iOS 11.3将过期日期添加到锁定(配对)记录中

5. iOS锁定(配对)记录的取证应用

只有在设备未进入所谓的USB限制模式时,才能进行逻辑采集,即使使用有效的锁定记录也得如此。有关USB限制模式的更多信息,请参考:

1. USB限制模式的介绍

2. iOS 12增强USB限制模式

身份验证令牌

这些可以用来访问用户iCloud帐户中的同步数据(令牌必须在用户的计算机上使用,在macOS上,可以提取可传输的无限制令牌)。还有Google云端硬盘的令牌(可用于访问用户的Google云端硬盘帐户中的文件)和Google帐户(可用于从用户的Google帐户中提取大量数据)。

说白了,身份验证令牌是一些数据,允许客户端(Web浏览器,Windows 版 iCloud,Elcomsoft Phone Breaker,Elcomsoft Cloud Explorer等)连接到服务器,而无需为每个请求提供登录名和密码。这些数据存储在小文件中(Web浏览器将它们存储在cookie中),这些文件可用于避免用户在当前和后续会话期间输入登录名和密码。在不提供(甚至不知道)用户的登录名和密码的情况下,可以使用这些相同的文件将云取证工具放在相应的云服务中进行验证。

注意,身份验证令牌不包含密码或其哈希值。相反,它们是完全随机的数据字符串,令牌不能用于攻击密码。

身份验证令牌的使用也会受到限制,我们列出了下面使用令牌可以访问和不能访问的数据类型。

Apple帐户

iCloud认证令牌尤其难以掌握,比如它们是什么,它们是用什么工具创建的,它们存储在哪里,以及如何和何时使用它们,这些都是我们经常被问到的问题。

在Windows环境中,Apple将iCloud身份验证令牌固定到他们创建的设备上,如果这些“固定”令牌被传输,则不能在其他设备上使用。因此,只能在创建这些令牌的同一台计算机上使用它们。

在macOS环境中,令牌也是固定于macOS计算机。然而,除了“固定”令牌外,我们还能够访问和解密不受限制的令牌。你将需要Elcomsoft Phone Breaker Forensic Edition从macOS中提取不受限制的令牌,然后使用相同的工具来使用令牌从iCloud下载信息。

令牌的作用很多,比如访问同步数据,包括联系人、日历和历史记录;Safari浏览历史和打开标签;钱包卡;通话记录;iCloud照片。另外,你还可以从iCloud驱动器访问文件,包括许多第三方app container (1Password、WhatsApp、Viber等),获取filevailt2加密驱动器的恢复令牌,并访问iCloud邮件。

不过,你不能使用令牌做的事情有:更改用户的iCloud密码,禁用双因素身份验证,访问密码(iCloud钥匙串)、屏幕时间、健康状况(iOS 12及更新版本)和消息。另外,你无法使用令牌下载iCloud备份。

为了在技术上100%正确,iCloud备份只能使用非双因素验证帐户中的有效令牌下载。但是,这些令牌的生命周期仅限于创建令牌后的一小时。换句话说它太短了,它的取证意义非常有限。

不过现在,无论是否使用密码都可以访问iCloud,详情请点此查看。

谷歌账户

如果你能够访问用户的计算机(Mac或PC),则可以从该计算机(使用Elcomsoft Cloud Explorer)提取二进制身份验证令牌,并使用它绕过密码和双因素身份验证保护。有几种类型的令牌,它们会受到不同方式的限制。

谷歌身份验证令牌是小型XML文件,在Windows电脑上,这些数据存储在用户的硬盘上。它们保存在mac OS的钥匙串中。这些令牌是在用户使用Chrome浏览器(或用于令牌的谷歌驱动器应用程序)登录到任何谷歌服务之后创建的,取证专家可以使用该XML文件中的数据对正在进行和后续会话进行身份验证,而不需要用户重新输入密码或确认双因素身份验证提示符。

谷歌身份验证令牌具有自己的一组限制,虽然它们不是“固定”在特定的计算机上,可以很容易地转移到不同的PC或Mac上,但令牌不能用于攻击、重置或恢复用户的帐户密码。然而,令牌可用于关闭用户谷歌帐户中的双因素身份验证。

从Chrome浏览器中提取的令牌更加通用,允许访问多个数据类别。另一方面,谷歌驱动器应用程序生成的令牌只能用于访问用户的谷歌驱动器中的文件。

你可以在Windows和macOS平台上使用Elcomsoft Cloud Explorer自动提取、传输和使用谷歌身份验证令牌,详情请点击《在没有密码的情况下访问谷歌帐户数据》了解。

总结

移动取证不仅仅针对于iPhone或Android手机,台式计算机就存在着许多与移动设备有关的证据。即使你不能使用身份验证令牌访问备份或任何受保护的容器,Apple iCloud保存的实时数据也比你想象的同步数据要多。

本文翻译自:https://blog.elcomsoft.com/2019/07/extended-mobile-forensics-analyzing-desktop-computers/如若转载,请注明原文地址: https://www.4hou.com/web/19641.html
点赞 1
  • 分享至
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

发表评论