iPhone取证的通用方法

gejigeji Web安全 2019年10月28日发布
Favorite收藏

导语:在本文中,我们将以iPhone机型为例,说明如何提取数据并尽可能介绍一个通用的提取方法。

我们都知道智能手机中存储的数据对我们有多重要,对黑客们或商家来说更是如此,当然对于执法机构来说,也成为极好的证据来源。

然而,数据保存和获取并不像听起来那么容易。到目前为止,还没有什么百试不爽和放之四海而皆准的办法能帮我们在任何型号的设备上获取证据。

在本文中,我们将以iPhone机型为例,说明如何提取数据并尽可能介绍一个通用的提取方法。

数据保存

了解数据保存是进行数据提取的前提,你必须确保所有型号的iPhone在数据提取时,处于相同的提取界面,并且在你持有该取证设备期间没有数据被修改或丢失。所以我们需要进行以下统一操作:

1.如果可能的话,激活飞行模式(即使设备被锁定,也要如此);

2.如有必要,检查并手动关闭Wi-Fi和蓝牙切换功能(如果用户在飞行模式下启用了Wi-Fi,那么即使在飞行模式下,Wi-Fi和蓝牙切换功能也可能一直处于开启状态);

3.将手机连接到移动电源;

4.使用Lightning适配器防止USB受限模式被激活(仅适用于运行iOS 11.4.1的设备,iOS 12和13可能会立即限制USB);

5.如果你有隔离套(Faraday bag),请将手机以及适配器和充电器放入其中,隔离套能够有效屏蔽汽车钥匙、电子设备等发射的低频信号;

完成以上5个步骤后,我们可以防止手机自行放电。如果手机一直在放电,则可能会关闭。 iPhone关闭后,您必须处理BFU(首次解锁前)状态,与AFU(首次解锁后)状态相比,这会严重限制我们的取证。即使手机设置了密码,与BFU相比,在AFU模式下更容易破解密码。然而,破解密码需要使用lightning端口,这就是适配器的作用。最后,如果手机仍然与网络连接,就有被远程锁定或清除的风险。

这听起来很简单?但在实践中并不是这样的,你必须格外小心地处理iPhone,否则就会发生以下情况:

1.如果iPhone配备了指纹传感器,请不要触摸Touch ID阅读器!否则,你将浪费一次解锁机会。如果需要检查手机是否已锁定,请用侧面的开关按钮(某些型号的开关按钮在顶部)。

2.如果是较新的“ X”型号,请不要使用人脸ID传感器。如果开启人脸ID传感器,则拿起电话后,Face ID系统会立即开始寻找人脸。如果检测到脸部,则它将尝试识别脸部。如果身份验证返回否定结果,则你将浪费一次解锁机会。这并不是什么新鲜事,在苹果公司发布第一代iPhone X的时候就发生过这样的事情。

3.请注意iPhone的生物识别子系统的各种规则,具体的请点此了解。

4.注意S.O.S.模式及其后果。电源键(睡眠/唤醒)一旦连续快速按五次,或者用户同时按住睡眠/唤醒键和一个音量键几秒钟,iPhone就会显示一个“紧急”菜单。此菜单提供各种选项,包括取消选项。无论选择何种选项(包括取消按钮),iOS都会暂时禁用Touch ID (Face ID),并要求用户输入密码才能解锁设备。此外,USB限制模式将被激活后,立即调用的S.O.S.模式。

5.如果你忘记开启飞行模式,关闭Wi-Fi和蓝牙网络切换功能,或将iPhone放入隔离包中,可能会发生证据被篡改的情况。

不过证据的收集可不仅限于iPhone,如果收集者获得了适当的授权,不仅智能手机里的证据会被收集,属于同一用户的所有电脑(笔记本电脑和台式机),或者iPhone过去可能连接过的任何电脑里的证据也会被收集。闪存驱动器和外接驱动器有时也会被进行收集,所有配套设备,如Apple Watch和Apple TV。这是因为,电脑和外部存储设备可能包含有价值的信息,,可能有助于访问锁定的电话,访问iCloud数据等。

证据地收集

当然,你需要识别被捕获的设备。查看印在手机后盖上的型号很容易,然后使用苹果网站查找就可以了,但你也可以使用Elcomsoft iOS Forensic Toolkit(“I”命令)等软件提取有关该设备的全面信息。如果你手边有锁定记录(从用户的电脑中提取的,而iPhone是与之配对的),你就能提取出最全面的信息。

如何处理锁定的iPhone

如果iPhone处于锁定状态,则必须破解密码才能提取证据。目前有几种通用的破解密码的方法:

1.灰钥匙(GrayKey),灰钥匙(GrayKey)是由一家名为Grayshift的公司开发,一个专为执法部门破解iPhone的工具,外部有两个Lightning线缆。iPhone连入灰钥匙后,首先会用两分钟时间安装破解软件,软件安装成功后即会对iPhone进行密码破解。4位数密码破解只需几个小时,6位数密码破解可能需要几天。

密码破解之后会直接显示在iPhone屏幕上。此时将已经破解的iPhone再插回灰钥匙,就能通过电脑下载iPhone上的所有数据,包括解密后的钥匙串内容。

2.Cellebrite 推出了一种能够解锁任何 iPhone、iPad 及最新 Android 设备的系统 UFEDPremium,该系统可以帮助执法部门从锁定的 iOS 和 Android 服务中解锁和提取数据,将作为内部工具出售。在 UFED Premium 的官方网站上,Cellebrite 表示,该公司将能够解锁运行 iOS 7 至 iOS 12.3 的 iPhone 和 iPad,以及最新的 Android 智能手机,如三星 Galaxy S6 至 Galaxy S9 机型,以及华为、LG、摩托罗拉和小米的设备。

3.Cellebrite高级服务,你必须将设备发送给Cellebrite才能解锁或提取数据。

所有人都可以使用的唯一预算解决方案是使用锁定/配对记录进行逻辑采集,该记录有时可以在设备已连接的计算机上找到。有关此方法,请参阅获取具有锁定记录的锁定iPhone。不过,我们对此主题发布了多个更新,包括锁定记录的有效期和USB受限模式

逻辑采集

逻辑采集是最安全,最简单的提取方法,它不会更改设备上的任何内容(除了最后的备份日期外),同时仍返回大多数数据。而且提取不限于备份,你还可以获取扩展的设备信息,提取媒体文件(包括音乐和大量元数据),共享文件,调试和诊断日志以及共享文件,一些关于逻辑提取的信息可以在此处获取。

但是,备份提取存在两个问题:

1.备份可能受密码保护,从iOS 11开始,可以重置备份密码;但是,此操作会要求在设备上输入密码,并会删除一些证据。有关详细信息,请参阅有关iPhone备份的最特殊情况一文

2.备份可能没有密码保护,事实上与使用密码加密的备份相比,不受密码保护的本地备份包含的信息更少。我们不能像在iOS Forensic Toolkit中一样设置临时的备用密码吗?另一件事是,iOS 13要求你在尝试备份的iPhone上输入锁定屏幕密码。如果你不知道密码,将无法更改备用密码。

物理提取

一些非常重要的数据永远不会进入设备备份,如果可能,应始终尝试获取完整的文件系统。对于所有版本的iOS 11和某些版本的iOS 12(当前,包括iOS 12.1.2在内),这都是可能的。有关详细信息,请参阅《 iOS越狱和物理获取分步指南》

但是,在进行文件提取和越狱之前,请确保先执行逻辑采集。文件系统的获取并没有那么大的风险,但是越狱可能会对设备的文件系统进行过多的修改。由于无根越狱不会修改系统分区,因此它比传统越狱更为安全。但是,它只提供有限的设备支持。你可以在该文中了解传统越狱和无根越狱之间的区别,该文章还提出了一个非常重要的问题,即如何将越狱IPA侧载到设备上时对其进行签名。签名IPA文件需要有效的Apple帐户。由于上述文章中所述的原因,我们建议使用苹果公司注册的开发者项目账户。

越狱,需要注意的事情传统(经典)越狱是侵入性的,他们会修改系统分区并中断OTA更新。但是无根越狱更干净,不重新安装系统分区,不会破坏OTA更新,可以完全删除。安装越狱要求侧载IPA文件,必须先对IPA签名,然后iOS才会同意运行它。签署IPA需要一个苹果帐户。如果你使用传统的Apple帐户,则需要允许该设备连接到Apple服务器以验证签名(存在风险)。如果你使用开发者帐户签署越狱IPA,则iPhone可以保持脱机状态,请注意有关最大设备数量的开发者帐户限制。

另外需要注意的是,你可以从越狱的设备中提取用户的Apple ID密码和设备备份密码。如果你按照指南进行操作并在越狱之前进行了本地备份,则可以在此处解密备份。

当前,所有设备和所有版本的iOS 11以及运行iOS 12.0到12.1.2的所有设备都存在公共越狱,无根越狱适用于除A12设备(iPhone Xs/Xs Max/Xr一代)以外的所有设备。

云端的证据提

云端的证据提取方法目前正在成为最重要的提取方法。它的优点是:

1.无需设备本身:即使设备丢失或损坏也可以使用。

2.在云端,你可以获得的数据可能比设备本身上可用的数据还要多。许多人使用不止一台Apple设备,他们都将某些数据同步(或备份)到云中。

3.云端可能包含已从设备中删除的数据;

4.在云端取证的效率会非常高;

关于iCloud取证,实际上我们已经写了很多文章。几年前,我们就介绍过iCloud备份下载,当时我们就预测从iCloud提取的数据比其他渠道都要多,比如:

1.iCloud备份,包括来自iOS最新版本的双重认证账户的备份;

2.iCloud Drive(完整内容,包括无法通过任何其他方式获得的第三方应用程序数据);

3.iCloud照片;

4.FileVault2恢复令牌;

5.iCloud钥匙串;

6.健康数据(包括受“p2p加密”保护的数据);

7.消息(iMessage和SMS;如果启用了同步,则不包括在备份中);

8.即将推出的更多数据类别,包括“屏幕时间”和“主页”数据;

云端数据提取的主要问题是你需要适当的身份验证凭据,比如需要用户的Apple ID和密码,以及第二个身份验证因子(如果启用了2FA)。或者,可以使用身份验证令牌访问部分iCloud数据,该身份验证令牌可以从已访问iCloud帐户的iPhone本身,Windows或Mac计算机中提取。

本文翻译自:https://blog.elcomsoft.com/2019/07/the-art-of-iphone-acquisition/如若转载,请注明原文地址: https://www.4hou.com/web/21192.html
点赞 3
  • 分享至
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

发表评论