电子数据检验iPhone手机数据的检验54课件.pptxVIP

iPhone手机数据的检验电子数据检验

目标Objectives要求了解iOS系统的基本概念；了解iPhone手机取证的技术原理。

iPhone手机数据的检验一、iOS系统介绍iOS系统是苹果公司基于UNIX的MACOSX演变而来的智能终端操作系统，现在不仅安装在iPhone手机中，同样也安装在iPodTouch、iPad等设备中。iOS采用的是苹果公司的HFSX文件系统，在iPhone手机中存在两个分区；一个是iPhone操作系统分区，大小为300-500MB；另一个是iPhone数据分区，大小根据内存大小而不同。第3章电子数据检验iOS的系统架构分为四个层次核心操作系统层（coreOSlayer）：包括内存管理、文件系统、电源管理以及一些其他的操作系统任务。核心服务层（coreserviceslayer）：可以通过它来访问iOS的一些服务。媒体层（medialayer）：通过它我们可以在应用程序中使用各种媒体文件，进行音频与视频的录制，图形的绘制，以及制作基础的动画效果。可触摸层（cocoaTouchlayer）：这一层为我们的应用程序开发提供了各种应用的框架，并且大部分与用户界面有关，本质上来说它负责用户在iOS设备上的触摸交互操作。

iPhone手机数据的检验二、iPhone手机备份文件数据取证iPhone手机数据的备份是通过与iTunes程序的同步来实现的，备份操作会在电脑中保存手机上的一些重要数据，如SMS短信、通话记录、联系人及其他应用程序数据，是电子数据取人员不可忽视的取证方式。（1）备份文件的存放位置与内容iPhone手机在数据同步之后，会把相应的备份文件保存在如下表所示的PC端路径下。第3章电子数据检验操作系统备份文件存储位置Windows2000/XPC:\DocumentsandSettings\%username%\ApplicationData\AppleComputer\SyncServices\Local\MobileSyncWindowsVista/7/8/10C:\Users\%username%\AppData\Roaming\AppleComputer\MobileSyncMACOS~/Library/ApplicationSupport/MobileSync/Backup

iPhone手机数据的检验二、iPhone手机备份文件数据取证iPhone手机备份的信息包括：文字短信、彩信中的图片、联系人、日历、备忘录、相册照片、最近通话、个人收藏、声音设置、电子邮件设置、Safari浏览器设置、网络配置信息（Wi-Fi、蜂窝数据网、VPN、代理服务等），其他配置信息（如输入法和系统界面语言等设置信息）等等。由此可知，备份文件信息中含有大量有价值的电子数据。（2）备份文件结构分析由于备份文件在操作系统中存储的位置是固定的，因此可以轻易定位并查看相应文件。如Windows7中通过资源管理器打开C:\用户\Sun\AppData\Roaming\AppleComputer\MobileSync\Backup文件夹可以看到有40位字母和数字组成的子目录，就是判别设备身份的识别码UDID（UniqueDeviceIdentity）。在新版的iTunes中备份文件主要由*.plist、*.mbdb、*.mbdx构成，*.plist文件存储设备信息、安装的程序和其他配置信息；*.mbdx为备份文件的索引文件；*.mbdb以无扩展名形式存储备份的数据内容。第3章电子数据检验

iPhone手机数据的检验二、iPhone手机备份文件数据取证（3）备份文件的破解与提取备份文件的提取可以使用iPhoneBackupExtractor工具软件进行读取，该工具可以自动识别当前计算机中保存的备份文件，列出设备的基本信息和备份文件所包含的信息数量，如果导出可通过Extract菜单项将相应项目按指定格式导出即可。如果iTunes对备份数据设置了密码，由于该加密方式一般采用AES-256的加密算法，通常只能进行暴力破解。ElcomsoftPhonePasswordBreaker可以很好地应对iOS和BlackBerry手机备份文件的密码破解，破解方式包括暴力破解和字典破解。第3章电子数据检验

iPhone手机数据的检验三、iPhone手机逻辑数据检验针对iOS系统数据进行逻辑提取是常用的取证方法，可以很好地提取终端设备内的短信/彩信、联系人、通话记录、浏览器痕迹、地理位置信息等内容。第3章电子数据检验以iPhone手机为例，SMS短信和MMS彩信都被保存在名为sms.db的数据库文件中，使用数据库查看工具SQLiteDatabaseBrows