电子数据取证技术PPT课件（共12章）第7章iOS操作系统取证技术.pptxVIP

第7章 iOS操作系统取证技术;7.1 ?iOS操作系统取证概述;　　2004年苹果公司成立了iPhone研发团队，使iPhone手机发展迈出了第一步。从第一代手机推出后，苹果公司以平均每年发布1～2款手机的频率更新着iPhone系列。iPhone的内部版本号和系列型号对应关系如表7-1所示。;;;7.1.2 ?iOS操作系统简介　　iPhone手机从2007年第一代开始，就搭载了苹果公司研发的iOS操作系统。该系统是一个封闭的操作系统，仅支持在iPhone、iPod touch、iPad等苹果设备上运行，这也是苹果系列硬件设备的核心竞争力所在。　　在最高层级，iOS扮演着底层硬件和用户创建的App之间的中介角色。App不会直接与底层硬件通信，而是通过一套定义明确的系统接口与硬件进行通信。这些接口让同一应用能够运行在不同性能的硬件设备上，iOS的技术实现可以被看作多个抽象的层级，如图7-1所示。;;　　用户界面(Cocoa Touch)层包含了构建iOS应用中与用户交互有关的关键运行库。这些库定义了应用的展现，提供应用的基本操作空间和关键技术，包括多任务、以接触为基础的输入、消息推送和许多高级的系统服务。　　媒体(Media)层提供图像、音像和视频技术。　　核心服务(Core Service)层包含了App用到的基础系统服务，其中最关键的服务是核心基础(Core Foundation)和基础(Foundation)框架，它定义了所有App都会用到的基础类型。这层也包含了一些特别的技术，如位置、iCloud、社交媒体和网络。;　　核心系统(Core OS)层包含了大部分为系统提供服务的底层功能。即使App中没有直接使用这些技术，它们也很有可能已经在其他框架中被间接使用。当用户有明确的安全需要或与外部硬件配件通信时，可以使用核心系统中的框架。;　　越狱的工作实质就是攻击这一信任链。所有越狱工具的作者都需要找到这一信任链上的漏洞，从而禁止信任链中负责验证的组件。破解引导ROM通常是最有效的办法，因为该组件不会因为苹果公司今后的软件更新而改变。　　1. 系统安全机制　　苹果公司在iOS操作系统安全方面下了一番苦功，相继加入了沙盒机制、数据保护API、钥匙串API、全盘加密技术来保护系统和数据的安全性。;　　1) 沙盒机制　　iPhone对安装在手机中的应用程序有所限制，即应用程序只能在为该程序创建的文件系统中读取文件，不可以去其他地方访问，此区域被称为沙盒。总体来说，沙盒就是一种独立、安全、封闭的空间，所有的非代码文件都要保存在此，如图像、图标、声音、映像、属性列表、文本文件等。;　　2) 数据保护API　　数据保护API利用文件系统加密、钥匙串和用户密码提供了一个额外的针对文件的保护层，开发者可以根据需求调用，这限制了某些进程在系统层面读取文件。该API最常用的场景就是当设备锁定时确保数据不可用。;　　3) 钥匙串API　　iOS操作系统提供了钥匙串API来存储少量机密信息。开发者可以用它来存储密码、机密密钥以及那些不能被其他应用访问的敏感信息。调用钥匙串API主要通过security守护进程来完成，即从SQLite数据库中提取数据。开发者可以指定在什么情况下允许应用读取密钥。;　　4) 全盘加密　　对设备中底层的每个数据使用密钥加密，密钥类型分为文件密钥(File Key)、层级密钥(Class Key)、文件系统密钥(File?System Key)和设备密钥(Device Key)。　　(1) 文件密钥针对每个文件单独生成，存储在文件的元数据中。不同级别的文件需要使用不同强度的加密密钥。　　(2) 层级密钥的作用是专门为那些特殊数据提供不同级别的保护。在早先的iOS版本中，默认的保护等级是NSFileProtectionNone；但是从iOS 5开始，默认的保护等级变成了NSFileProtectionCompleteUntilFirstUserAuthentication。;　　(3) 文件系统密钥是一种全局加密密钥，当元数据被层级密钥加密后，用户使用文件系统密钥来加密涉及文件安全的元数据。　　(4) 设备密钥通常被称为UID密钥，每台设备唯一，只能通过硬件的AES引擎访问，操作系统无法直接获取。它是系统的主密钥，用来加密文件系统密钥和层级密钥。如果用户启用了用户密码(User Passcode)，那么它将与设备密钥结合起来加密层级密钥。;　　2. 运行模式　　iPhone有3种运行模式：正常模式、恢复模式(Recovery Mode)和DFU模式(Developer/ Development Firmware Upgrade Mode)。下面重点介绍恢复模式和DFU