未持有iOS设备情况下的离线取证方法

暂无

未持有iOS设备情况下的离线取证方法\n技术领域\n[0001] 本发明涉及数字取证中移动设备取证的技术领域，特别涉及一种未持有iOS设备情况下的离线取证方法。\n背景技术\n[0002] 移动设备通常指任何具有内部存储和通信能力的数字产品。其中手机是最普遍使用的移动设备之一，已成为人们生活中不可或缺的联系工具。据IDC最新的统计报告显示，\n2012年全球智能手机出货量达6.86亿部,中国占据1/4达到26.5%，成为全球智能手机出货量最大的国家。在高端智能手机市场中，苹果和三星占据90%的市场份额。截至2012年9月iPhone5 发布时，苹果销售了 4 亿台 iOS 设备，而在 iOS 6 发布之后一个月的时间里，就有 2 亿台设备运行 iOS 6。这些统计数据表明iOS设备在移动终端占有重大的市场份额，在中国乃至全世界都拥有极其庞大的用户基数。与此同时，手机犯罪现象作为高科技犯罪的一种也随之涌现。智能手机取证在刑事侦查中的应用也将越来越多，对刑事侦查的支持也越来越强。因而对智能手机取证这一领域相关理论和实践研究也显得尤为重要。\n[0003] 移动设备取证是数字取证的一大分支，涉及到在可靠的取证环境下的数字证据的恢复和从移动设备中的获取。而智能手机不同于普通的功能手机，它的运算能力、存储能力已经接近甚至达到传统PC的水平，不仅如此，智能手机由于其丰富的App应用极大扩张了手机所能实现的功能，App在使用中所产生的数据和用户直接相关，包含了大量的隐私数据，而传统的手机取证技术所获取的信息（短信、联系人、图片等）已尽不能满足现代刑侦的需要。目前实际应用的取证软件都只是针对iOS设备本身，即在持有某一iOS设备的情况下对该设备进行取证作业。一旦未持有某一iOS设备，则无法获取该设备的任何信息，而本发明能很好地解决上述问题。\n发明内容\n[0004] 本发明的目的就是在取证人员未持有目标iOS设备的情形下，提供一种间接的取证方法，结合iOS设备的自身的特点和机制，利用目标iOS设备曾经连接的PC或Mac上的iOS设备的管理软件iTunes，通过对iTunes所生成的文件的解析，获取到目标iOS设备信息(IMEI、GUID等)和相对与当前时间较早或同等时间的目标iOS的设备所包含的嫌疑人敏感信息(短信、联系人、通话记录等)，从而实现对目标iOS设备的模糊取证。\n[0005] 本发明提供一种未持有iOS设备情况下的离线取证的方法，包括：取证人员在未持有iOS设备的情况下，转而去寻求曾经与该iOS设备连接过的PC或Mac端的iTunes备份文件夹，在获取对该PC或Mac的控制后，实施针对iTunes备份文件的取证；根据不同的操作系统确定相应的iTunes备份文件夹的位置，并检测该备份文件夹内是否包含备份数据，若包含备份数据，则确定可以对该备份文件夹进行后续的取证工作，可以将PC或Mac端的存储部件作为原始证据隔离保护，亦可仅将iTunes的备份文件夹作为原始证据隔离保存，并进行MD5或SHA完整性校验，并制作备份；针对备份的iTunes备份文件夹进行解析取证操作。首先对备份进行完整性校验，与原始备份数据的MD5或SHA值进行比较，在确定一致的情况下，开始解析备份数据并记录取证实施过程；通过解析备份文件夹中的Info.plist文件，获取该备份的iOS设备的信息（设备名称、系统版本、手机号码、GUID、IMEI等）并将解析出的数据记录并生成iOS设备信息报告；通过解析备份文件夹中的Status.plist文件，获取有关该备份的信息（备份的时间、是否完全备份、UUID等）并将数据记录生成备份信息报告；通过解析备份文件夹中的Manifest.plist文件，获取所有已安装的App信息，将其中，即时通讯类App、地图/位置类App、搜索/查询类App等版本和路径信息记录，由于该类App包含大量用户数据信息，取证人员需要记录并解析其数据库文件；通过解析Manifest.mbdb和Domains.plist，将备份文件的文件名与原iOS系统中的文件全路径进行匹配，将备份的文件简单分类{基本信息（短信、联系人、通话记录）、多媒体信息（图片、音频、视频）、App信息、位置信息}，并根据数据载体的类型利用利用相关软件（SQLite Expert、Plist Editor）解析查阅，并将内容生成相应的分类报告；将上述生成的分类报告汇总，经过整理，排除冗余数据，对解析提取的结果生成总结性取证报告，并根据取证过程报告复核整个取证流程有无漏洞及违规行为，最后进行证据存档和提交。\n[0006] 方法流程：\n[0007] 本发明提供一种未持有iOS设备情况下的离线取证的方法，其包括如下步骤：\n[0008] 1）取证人员在确定某一iOS设备连接过的PC或Mac端后，采取现场证据保护措施，并记录现场，并且检测该PC或Mac是否已经安装iTunes。\n[0009] 2）根据不同的操作系统确定相应的iTunes备份文件夹的位置，并检测该备份文件夹内是否包含备份数据，若包含备份数据，则确定可以对该备份文件夹进行后续的取证工作，可以将PC或Mac端的存储部件作为原始数据源隔离保护，亦可将涉案PC或Mac作为原始数据源隔离封存，并进行MD5或SHA完整性校验，并制作多份备份以供取证人员分析。\n[0010] 3）任何分析或提取工作都只能在原始数据源的备份上进行取证操作。在开始取证操作之前，首先要对备份进行完整性校验，与原始数据的MD5或SHA值进行比较，在确定一致的情况下，开始解析备份数据。同时对实施取证人员做好信息记录，并录入取证方案及步骤，生成取证过程报告。\n[0011] 4）通过解析备份文件夹中的Info.plist文件，获取该备份的iOS设备的信息（设备名称、系统版本、手机号码、GUID、IMEI等）并将解析出的数据记录并生成iOS设备信息报告。\n[0012] 5）通过解析备份文件夹中的Status.plist文件，获取有关该备份的信息（备份的时间、是否完全备份、UUID等）并将数据记录生成备份信息报告。\n[0013] 6）通过解析备份文件夹中的Manifest.plist文件，获取所有已安装的App信息，将其中，即时通讯类App、地图/位置类App、搜索/查询类App等版本和路径信息记录，由于该类App包含大量用户数据信息，取证人员需要记录并解析其数据库文件。\n[0014] 7）通过解析Manifest.mbdb和Domains.plist，将备份文件的文件名与原iOS系统中的文件全路径进行匹配，将备份的文件简单分类{基本信息（短信、联系人、通话记录）、多媒体信息（图片、音频、视频）、App信息、位置信息}，并根据数据载体的类型利用相关软件（SQLite Expert、Plist Editor）进行解析查阅，并将内容生成相应的分类报告。\n[0015] 8）将步骤7生成的报告汇总，经过整理，排除冗余数据，生成总结性取证报告，并将上述取证调查过程的记录报告汇总，并进行复核工作，检查每个取证实施环节是否存在漏洞及有无违反法律法规，针对某一可疑的取证结论及取证流程，可参考该取证过程的记录报告，可在数据源的冗余备份上复现记录的取证过程或重新实施新的取证方案。复核工作结束后，将报告存档，最后进行证据提交司法机关。\n[0016] 1. 取证方法应用前提条件\n[0017] iTunes是由Apple公司开发的供 Mac 和 PC 使用的一款免费应用程序，能管理和播放用户的数字音乐和视频，更重要是它是Apple公司官方提供的管理iOS设备的多媒体文件、App、同步、备份、恢复、更新iOS版本等功能的管理软件。由于iOS系统本身的非开源和封闭性，对于原生的（未越狱）iOS设备在连接到PC上的时候，PC本身是无法直接读取iOS设备的文件系统，只能读取到多媒体文件夹，而且iOS设备用户无法通过PC端的拷贝、剪切、粘贴等功能来实现对多媒体文件的管理，必须通过iTunes软件来实现对iOS设备的管理，通过iTunes的同步功能，由于iTunes的设计本身遵从Apple的同步协议（Apple’s \nsynchronization protocol），可以将PC或Mac上的多媒体文件同步到iOS设备中去。因此iOS设备用户一定会在其PC或Mac端安装iTunes软件以管理其iOS设备。iOS设备一旦连接上已安装iTunes的PC或Mac，iTunes软件就会自动提示用户手动或设置自动同步iTunes的多媒体资料库，而在同步的过程中或iOS设备升级、更新iOS版本、恢复iOS系统的时候，iTunes就会自动的运行备份iOS设备的功能来防止上述功能因连接中断或系统运行错误而导致的数据丢失，若出现错误，iTunes还可以从设备中将iOS设备恢复。因此iTunes运行的过程中将产生大量的与其相连接过的iOS设备的数据，其中最主要的就是iTunes文件夹中的备份数据，通过获取和解析该文件的内容即可以间接的对该iOS设备进行取证作业，获取该设备的大量信息。\n[0018] 2. 因此基于以上论述，本发明取证方法的应用前提就是当取证人员需要对某一iOS设备进行取证而未持有该iOS设备的情况下，取证人员可以转而获取与该iOS设备连接过的PC或Mac，确认该PC或Mac上安装有iTunes软件，即可实施取证过程。iTunes备份数据的存储位置及数据源取证价值\n[0019] iOS设备通过iTunes执行备份功能后，其存储的iOS备份的文件夹的位置因操作系统而异。iTunes 将备份文件存放在以下位置（以下信息摘自Apple官方网站，以Apple官方网站最新公布信息为准）：\n[0020] l  Mac：Users//Library/Application Support/MobileSync/Backup/\n[0021] l  Windows XP：\Documents and Settings\（用户名）\Application Data\Apple Computer\MobileSync\Backup\\n[0022] l  Windows Vista 和 Windows 7： \用户\（用户名）\AppData\Roaming\Apple Computer\MobileSync\Backup\\n[0023] 在Windows操作系统下，在存储路径中，由于AppData文件夹是隐藏文件夹，因此取证人员需要手工查找的话，需要在“文件夹和搜索选项”中“查看”的属性页的“隐藏文件和文件夹”设置为显示，才可以看见该文件夹，因此备份文件夹的存储路径是iTunes软件自行默认设定的，用户无法修改，其在不同的操作系统中的存储位置固定。\n[0024] 目前移动设备取证领域中对iOS设备的数据获取主要有三种方法，第一种方法是物理获取（Physical Acquisition），通过按位拷贝整个iOS设备的存储芯片。该方法类似与磁盘镜像，可以获取iOS设备的存储器的物理镜像。但从iOS4开始，iOS设备采用了更加严格的安全机制硬加密，导致镜像下来的数据还是加密后的，且操作复杂，耗时较长；第二种方法是逻辑获取（Logical Acquisition），通过Apple的同步协议，将iOS设备的文件系统备份下来而不仅仅备份某些特定的数据，从而获取一个逻辑镜像。该方法易于实施，获取到的镜像数据也可以迅速用来解析，但该方法在备份大量用户数据的同时也备份了大量的系统数据，且耗时也较长。第三种方法是备份获取（Backup Acquisition），即通过iTunes软件来备份iOS设备，然后在对备份文件进行解析。iTunes所备份的具体内容可以通过浏览Apple官方网站（http://support.apple.com/kb/ht4946?viewlocale=zh_CN）或见附图1。由于iTunes的备份功能使用Apple同步协议，并用作在iOS系统不正常工作时的恢复备份，亦可从附图1所示，该备份功能备份了原iOS设备的所有用户数据包括多媒体文件、短信、联系人、通话记录、Safari 浏览记录、App数据等和可唯一标识该iOS设备的系统文件。因此备份的数据量所包含的用户数据从取证角度说都是具有价值的，作为有效的诉讼证据。但该方法具有一定程度的缺陷，由于取证人员未持有某一iOS设备，那么采用该方法取证所得数据只能证明这些数据在备份的日期之前存在与该iOS设备中，与该iOS设备此刻所含有的数据具有一个时间差，从iOS设备的备份日期到现在这段时间所产生的数据，利用该方法无法获取，因此，称之为对iOS设备的模糊取证。\n[0025] 3. 解析iTunes的备份数据\n[0026] iTunes所备份的文件在保存到PC或Mac中时，是以40位十六进制作为文件名，并且没有文件后缀名，在文件类型一栏显示为“文件”，例如某一备份文件文件名为：\n3d0d7e5fb2ce288813306e4d4636395e047a3d28。因此，我们无法直接通过备份文件的文件名或文件属性来判断该文件在原iOS设备中是什么类型的文件，从而也无法获取其文件内容。而iTunes的备份文件的文件名的产生原理是将Domain和备份文件在原iOS设备中的路径通过‘-’符号链接作为原字符串数据进行SHA1算法加密生成40位的十六进制值作为文件名，即：Domain-路径。Domain 是iOS文件系统的一个“域”概念，用来简单标识iOS设备中文件所属哪个Domain，iOS主要包含以下几个域：HomeDomain、RootDomain、BookDomain、MediaDomain、MobileDeviceDomain、KeychainDomain等，所有的Domain的定义都包含在iOS系统中的/System/Library/Backup/Domains.plist file 中。例如，短信、联系人、通话记录等SQLite数据库文件皆属于HomeDomain，图片、音频文件都属于MediaDomain。\n[0027] 上文中举例的文件名（3d0d7e5fb2ce288813306e4d4636395e047a3d28）就是由：\nHomeDomain-Libiary/SMS/sms.db 为原字符串经过SHA1算法加密而成，该文件在原iOS系统中的文件名就是sms.db，即短信库文件。因此，取证人员就可以利用该原理，将iTunes的备份文件的文件名全部相应的识别为iOS设备中所对应的文件路径和文件名，从而加以提取特定的包含用户数据的文件进行解析取证。\n[0028] 除此之外，iTunes的备份文件中还包含四个未采用上述原理生成文件名的文件，分别是：Info.plist、Manifest.plist 、Status.plist、Manifest.mbdb。Info.plist文件包含了备份的iOS设备的信息包括：设备名称、系统版本、手机号码、GUID、IMEI、最后一次备份时间等。Status.plist文件记录了这次备份的信息包括：备份时间、UUID、是否全部备份等信息。Manifest.plist文件记录了iOS设备的所有已安装的App的信息、是否加密等信息。\nManifest.mbdb文件记录了所有备份文件的路径、大小、所属域等信息。通过对以上四个文件的解析，取证人员亦可获取大量有关此次备份的iOS设备的信息及备份本身的信息。\n[0029] iOS设备的数据载体主要为SQLite数据库、Plist文件、多媒体数据。SQLite为小型开源数据库，iOS设备中的短信、联系人、通话记录、日历、记事本、App用户数据等都是存储在SQLite数据库中，取证人员可以在PC或Mac通过SQLite Expert 软件来查阅数据库存储的信息。Plist（Property List）文件类似于XML文件，主要存储系统配置信息和用户设置数据及记录信息，如Safari浏览记录、Google地图记录都是存储在Plist文件中，取证人员可以在PC或Mac中通过Plist Editor 软件来查看存储的信息。多媒体文件iOS系统未作特殊处理，备份后，直接打开即可。\n[0030] 有益效果：\n[0031] 本发明的取证方法是在未持有某一iOS设备的情况下，通过解析曾经与该iOS设备连接过的PC或Mac端的iTunes的备份文件夹，来获取接近于当前时间的iOS设备所包含的信息，就信息量本身而言，正常情况下其获取的信息与持有该iOS设备进行取证的所获取的信息中会有大量的信息一致，取证的结果的就是某iOS设备从备份之时间起到取证的时间间隔的越短，则iOS设备在使用中产生的新的数据越少，代表取证的结果越接近甚至等同在持有该iOS设备情况下的取证结果。本发明方法一定程度上规避了传统移动取证方法在未持有iOS设备时，无法获取任何有关该iOS设备的信息的缺陷，在符合应用条件下实现了对iOS设备的模糊取证。\n附图说明\n[0032] 图 1 Apple官方关于iTunes备份内容列表。\n[0033] 图 2 解析iTunes文件夹的流程图。\n具体实施方式\n[0034] 请参阅图2，首先取证人员先要根据技术方案中所诉的该取证方法的应用前提，在确定符合应用前提的条件下，开始取证工作。\n[0035] 本发明提供一种未持有iOS设备情况下的离线取证的方法，其包括如下步骤：\n[0036] 1）取证人员在确定某一iOS设备连接过的PC或Mac端后，采取现场证据保护措施，并记录现场，并且检测该PC或Mac是否已经安装iTunes。\n[0037] 2）根据不同的操作系统确定相应的iTunes备份文件夹的位置，并检测该备份文件夹内是否包含备份数据，若包含备份数据，则确定可以对该备份文件夹进行后续的取证工作，可以将PC或Mac端的存储部件作为原始数据源隔离保护，亦可将涉案PC或Mac作为原始数据源隔离封存，并进行MD5或SHA完整性校验，并制作多份备份以供取证人员分析。\n[0038] 3）任何分析或提取工作都只能在原始数据源的备份上进行取证操作。在开始取证操作之前，首先要对备份进行完整性校验，与原始数据的MD5或SHA值进行比较，在确定一致的情况下，开始解析备份数据。同时对实施取证人员做好信息记录，并录入取证方案及步骤，生成取证过程报告。\n[0039] 4）通过解析备份文件夹中的Info.plist文件，获取该备份的iOS设备的信息（设备名称、系统版本、手机号码、GUID、IMEI等）并将解析出的数据记录并生成iOS设备信息报告。\n[0040] 5）通过解析备份文件夹中的Status.plist文件，获取有关该备份的信息（备份的时间、是否完全备份、UUID等）并将数据记录生成备份信息报告。\n[0041] 6）通过解析备份文件夹中的Manifest.plist文件，获取所有已安装的App信息，将其中，即时通讯类App、地图/位置类App、搜索/查询类App等版本和路径信息记录，由于该类App包含大量用户数据信息，取证人员需要记录并解析其数据库文件。\n[0042] 7）通过解析Manifest.mbdb和Domains.plist，将备份文件的文件名与原iOS系统中的文件全路径进行匹配，将备份的文件简单分类{基本信息（短信、联系人、通话记录）、多媒体信息（图片、音频、视频）、App信息、位置信息}，并根据数据载体的类型利用相关软件（SQLite Expert、Plist Editor）进行解析查阅，并将内容生成相应的分类报告。\n[0043] 8）将步骤7生成的报告汇总，经过整理，排除冗余数据，生成总结性取证报告，并将上述取证调查过程的记录报告汇总，并进行复核工作，检查每个取证实施环节是否存在漏洞及有无违反法律法规，针对某一可疑的取证结论及取证流程，可参考该取证过程的记录报告，可在数据源的冗余备份上复现记录的取证过程或重新实施新的取证方案。复核工作结束后，将报告存档，最后进行证据提交司法机关。