关于移动取证,咱们现已讲了很多了,且最新的发展是专家们正在剖析智能手机自身是否能够拜访云数据。但是,将搜索扩展到用户的台式机和笔记本电脑或许也有助于拜访存储在物理智能手机和云中的数据。在这篇文章中,咱们将列出一切能够为智能手机数据供给信息的相关取证办法,而且这些办法适用于苹果iOS设备以及运转Android的智能手机。
台式机和笔记本电脑上的相关取证办法
由于其容量巨大,核算机或许存储了比智能手机更多的依据。但是,与咱们希望从现代智能手机中取得的带有时刻戳和地舆符号的运用数据比较,台式核算机中的数据将是一种不同与智能手机的依据。
用户的PC或Mac怎么协助移动取证专家?有几种类型的依据能够协助咱们从手机或云端检索数据。
1. iTunes备份,尽管这类依据是iphone特有的或许更切当地说,是苹果特有的,但是在用户的核算机上发现的本地备份能够成为十分名贵的依据来历。
2. 保存的暗码,经过即时提取存储在用户的Web浏览器(Chrome、Edge、IE或Safari)中的暗码,能够构建一个用于破解加密的自定义字典。更重要的是,能够运用存储的凭证登录用户的iCloud或谷歌帐户并履行云提取。
3. 电子邮件帐户,电子邮件帐户可用于重置用户的Apple或谷歌帐户的暗码(运用新凭证进行后续云提取)。
4. 身份验证令牌,这些能够用来拜访用户iCloud帐户中的同步数据(令牌有必要在用户的核算机上运用,在macOS上,能够提取可搬运的不受约束的令牌)。别的,还有Google云端硬盘的令牌(可用于拜访用户的Google云端硬盘帐户中的文件)和Google帐户(可用于从用户的Google帐户中提取很多数据)。核算机自身也是取证的来历,由于某些身份验证令牌“固定”在特定的硬件上,不能搬运到其他设备上。假如核算机是“受信赖的”设备,则能够运用它来绕过双要素身份验证。
iTunes备份
iPhone用户能够挑选在Windows电脑上装置iTunes或许在Mac电脑上运用所述软件的内置版别。除此之外,iTunes还能够用来对iPhone进行定时或手动的本地备份。这些备份能够说是移动取证专家从用户电脑中搜集的依据中最名贵的部分。
与Android的剥离式ADB备份比较,Apple的iPhone具有更好的本地备份体系,Apple在关于《iOS设备的备份》一文中对本地备份进行了全面的记载。
据苹果公司称:“iTunes备份简直包含你设备的一切数据和设置”,别的依据咱们的一向经历,本地备份简直包含康复现有iPhone或装置新设备所需的一切内容。将文件和设置传输到另一台设备既方便又简略,用户运用替换设备的体会与运用旧iPhone不会有太大的不同,乃至暗码(iOS Keychain)也保存在本地备份中。
加密备份与未加密备份
用户能够挑选运用暗码维护本地备份,受暗码维护的备份是安全加密的。为了解密这些备份,需求破解或康复暗码,暗码康复进犯很慢,在高端GPU上每秒只要100-150次测验。
加密的iTunes备份和未加密的iTunes备份有很大的差异,在某种程度上,关于专家来说,受暗码维护的备份比没有受暗码的备份更有价值。关于备份加密,苹果公司的说法如下:
“iTunes的加密备份功用能够确定和编码你的信息,别的加密的iTunes备份能够包含未加密的iTunes备份不包含的信息,比方你保存的暗码、无线 *** 设置、网站前史、健康数据”
咱们只能从加密备份中提取保存的暗码(iOS钥匙串),未加密的iTunes备份依然包含钥匙串。但是,不受维护备份中的钥匙串的内容是运用特定于设备的安全加密密钥进行加密,答应你在从中捕获备份的同一设备上解密内容。
从ios11开端,iTunes备份暗码能够重置,要做到这一点,你需求一台iPhone和登录它的暗码。从ios13开端,你需求运用暗码在iTunes或iOS Forensic Toolkit中指定备份暗码。
不过要注意的是,有些数据永久不会存储在本地备份中。
iTunes备份不包含:
1. 来自iTunes和应用程序商铺的内容,或直接下载到Apple Books的PDF文件;
2. 从iTunes同步的内容,如导入的MP3或CD、视频、书本和相片;
3. 现已存储在iCloud中的数据,如iCloud相片、imessage、文本( *** S)和多媒体(MMS)音讯;
4. Face ID或Touch ID设置;
5. Apple Pay信息和设置;
6. Apple Mail数据;
7. 活动、健康状况和钥匙串数据(要备份此内容,你需求在iTunes中运用加密备份)。
哪里有保存的暗码
用户的暗码能够存储在他们的核算机上,由盛行的Web浏览器缓存或保存在暗码管理器应用程序中。能够运用存储的暗码解锁BitLocker加密的硬盘,拜访用户Google帐户中的iCloud数据和数据,损坏强加密或拜访用户的全面方位前史记载。
在Windows中
在Windows体系中,一些最盛行的具有保存暗码功用的Web浏览器包含谷歌Chrome、Mozilla Firefox、Microsoft Edge和Internet Explorer以及Opera浏览器。在一切这些浏览器中,存储的暗码只遭到松懈的维护。因而,能够运用Elcomsoft Internet Password Breaker轻松提取它们。解压缩暗码后,你能够运用它们构建自定义字典来进犯加密文档或履行云提取。
要从用户的iCloud帐户中提取数据,请在Elcomsoft Phone Breaker中输入存储的身份验证凭证。
要从用户的谷歌帐户中提取数据,请在Elcomsoft Cloud Explorer中运用相应的身份验证凭证。
macOS
macOS将暗码存储在钥匙串中,这样本地和第三方暗码都将存储在钥匙串中,至少在谷歌Chrome中是这样。因而,拜访暗码需求提取宽和密钥匙串。
现在,你能够运用Elcomsoft Phone Breaker(有Mac版别)从用户的iCloud帐户中提取数据。要从用户的谷歌帐户中提取数据,请在Elcomsoft Cloud Explorer中运用相应的身份验证凭证(用Mac版别)。
电子邮件帐户
经过身份验证的电子邮件客户端(如Outlook或Windows Mail)或经过身份验证的Web浏览器(如Gmail、Hotmail等)可用于恳求重置其他用户帐户上的暗码。请注意,这关于运用双要素身份验证的Apple ID帐户不起作用,别的它也不适用于Google帐户。不过,你依然能够为其他帐户(如交际 *** 、聊天和即时音讯帐户)恳求重置暗码。
确定记载(Lockdown Record)
确定记载或配对记载常常用于拜访确定的iOS设备。经过运用从嫌疑人电脑中提取的现有确定记载,取证专家能够运用iOS Forensic Toolkit和其他取证东西对iOS设备进行逻辑提取。经过逻辑提取,专家能够提取本地备份,拜访共享和媒体文件,乃至提取设备溃散日志。[1][2]黑客接单网