ios应用安全攻防实战无法销毁的文件-博文视点安全技术大系.pdfVIP

原原文文地地址址:/papers/8148 将一个普通的文件系统想象为一个大的笔记本。当一个文件被删除时，许多人以为 一页是被用“三福”牌记号笔完全 涂黑了，就像关于51 区的机密文档那样。但事实上，在 个操作背后所发生的一切更像是用一支很细的红色笔在 一 页上面画了一个巨大的X。文件被标记为已删除，但内容实际上还存在于笔记本上。所有想知道其看起来是什么样的 人还是可以轻松地读出它的内容，而不管有一个红色的X 将它标记为已删除。 就是庭审律师 （不论是美剧Boston Legal 中的还是真实生活中的律师）如何从嫌疑犯的电脑里还原出大量已删除的文件。苹果公司也知道 一点，因 此，在iOS 4 中开始使用一些特殊的精心设计的文件系统加密方法来防止已删除文件被还原出来。然而， 种技巧并 不完美，有时候文件依然可能被盗。 在前面我们已经看到，iOS 4 和iOS 5 使用了加密的文件系统，在 个文件系统中的所有文件都使用了一个唯一的密钥 进行加密。在文件系统中， 个密钥被保存在名为cprotect的属性中，并且它实际上也是被所谓的AES-Wrap 方式加密 的，加密它的密钥或者是存放在NAND 可擦除区域的Dkey，或者是保护等级密钥中的一个。当删除一个文件时，该文件 的cprotect 属性会随之被丢掉。而拿不到 个属性中的加密密钥，文件就无法被揭秘，那么