ios平台数字取证技术研究.docVIP

ios平台数字取证技术研究 　　摘要：最近几年来，智能手机的使用越来越广泛，逐渐的成为了目前手机市场发展的主流方向，其功能越来越强大，受到广大使用者的好评。但是与手机相关的问题也在逐年增多，比如用户不了解使用方法而对文件无意进行破坏，病毒、黑客等对智能手机进行侵扰致使文件丢失等。本文将对ios平台的数字取证技术进行研究，企图找到合适的解决方法。 　　关键词：IOS 取证技术 文件恢复 　　中图分类号：TP393.08 文献标识码：A 文章编号：1007-9416（2015）02-0000-00 　　智能手机和智能手机大部分都可以像PC一样，不但拥有独立的操作系统，独立的运行空间，而且还可以自由的下载各种游戏、软件等应用程序。因此，手机如果内存不够则不能满足使用的需求。在手机内存不足时，就要使用外置内存卡，这也是手机取证的对象。本文以IOS系统的智能手机为例，根据系统中所安装的应用程序，分析其在存储卡中的文件存储方式，以其获得有价值的资料，从而为相关事件提供技术依据。 　　1 iPhone的配置 　　IOS和Andriod是目前智能手机最常用的平台，许多不同品牌的手机都会使用IOS平台，但是不论是哪一种手机，其最核心的部件都是相通的。比如说iPhone手机，它所运行的操作系统便是MAC，该系统与PC有着很多相似点，但是也有着不少的不同。ARM iPhone用的处理器就与电脑的有着极大的不同。在硬件方面，智能手机所用的硬件都是专门使用的，相比之下，智能手机所用的硬件与设备一定是最适合自身的。智能手机还有加速器，屏幕一般也是触屏，与台机相比其还可以连接至无线网络与无线设备上，苹果的用户界面更加的灵活，用手指点击屏幕就可以实现操作，便捷程度远高于PC。iPhone手机一般是单核手机，有效的保护了手机文件的数据。 　　2 智能手机的取证方法 　　2.1取证的准备工作 　　为完成取证工作，需要有相应的准备工作，比如说，首先要有一台安装了相应系统的电脑。为了能够将手机连接到进行取证工作的电脑上，以完成恢复工具的安装并更好的对手机进行控制，也需要手机的usb连线。对于手机来说，苹果的iTunes需要7.4.2 以上的版本。（这里提到的iTunes程序实质上是一个管理界面，而管理的对象就是苹果终端上的数字媒体播放器所能打开的内容。不仅如此，通过iTunes还能够能连线到iTunes Store。而通过iTunes Store可能从网络上购买并下载各种各样的音频文件、应用程序以及游戏软件等。在取证过程中，手机硬盘中的信息是需要时刻进行备份的，备份的目的不仅仅将文件复制，更重要的是能够对手机进行数字恢复，所以对此一定要有足够的硬盘容量，可以存贮手机硬盘足够的信息。最后，我们在将手机拿到手之后，并不可以立即进行取证，因为对于不同的手机可能会有不同的取证方式。手机使用的版本不同，如果盲目的升级版本，有可能会造成手机内的数据毁坏。 　　2.2手机取证方法 　　手机在用户使用之后都会留下使用的痕迹，这些痕迹都在手机的内存中储存着，包括各种信息和数据，像是通信记录、下载的音频、应用软件等等。而手机取证就是要将手机中储存的信息运用技术手段提取出来并进行分析，然后形成有效的证据。手机取证的方法并不是千篇一律的，者必须具体问题具体分析。不同的案件需要不同的信息来作为证据，因此在取证之前必须要针对案件的具体情况来建立研究小组，并进行分工，根据每个人的技术方向来安排给合适的工作。项目的负责人必须要有这充足的经验，才能为手机取证工作提供良好的保障。取证设备在取证之前必须要进行检查，手机的各种状态都要做好记录，手机的各类文件都要做好备份，明确好本次手机取证的方向，最后才能正式开始进行手机取证。 　　手机中的证据与常规的证据不同，其是一种电子证据，存在于手机的内置或者是外置的内存卡中，除此之外，就连用户所使用的SIM卡以及手机通信运营公司都可以作为证据获取的方式，因为用户的部分或者全部的手机使用信息都在这些机构或工具中完好的保存着。我们需要明确，在手机的内存一般都会分为两个区，iPhone手机的特殊点在于其使用了闪存，因此并不是所有的文件都会保存在硬盘中，而是保存在闪存中。其中，第一个分区是300M的，iPhone的操作系统和应用程序都是安装在第一个分区里，这个分区被默认为只读，即可以读取但是并不可以有用户进行更改。第二个分区则保存着用户的个人信息，像是通话记录、下载的音频等。第一分区一般保持出厂状态，所以在第一分区安装取证工具是安全的，第二个分区存储了用户的大量信息，是我们取证工作的重点[1]。iPhone有很多不同的通信方式，比如说串口通信，802.11Wi-Fi通信以及蓝牙通信。在这些通信方式中，蓝牙传输是不稳定的，所以为了周全我们一般用串口