北京網絡安全大會(BCS)電子取證系列直播分享活動持續進行,在第五期的課程中,奇安信取證案件組組長青山帶領眾多電子取證專業人員聚焦iOS取證,走近iTunes備份一探究竟!
本期概要:
- iTunes備份侷限性
- 加密/不加密備份的區別
- 加密備份的解決方法
- 備份數據缺失
一、iTunes備份侷限性
備份提取是目前國內大多數取證工具對iOS取證時所採用的方式,但這種提取方式有如下侷限性:
1、空間不足時備份不成功
2、加密備份無法解密
3、備份數據不全面
4、無法定向選擇備份的App
二、加密/不加密備份的區別
區別在於這兩種備份數據的加密方式:
未加密備份中,數據是基於每個iOS設備獨有的硬件專用密鑰來加密的。這種密鑰是永久的,即使完全恢復iOS設備的出廠設置它也是不變的。
加密備份中的大部分數據僅使用機主設置的備份密碼進行加密。
因此,未加密備份只能在原設備上被完全恢復,假如要往一部新的蘋果手機上恢復的話,就會有些數據無法被恢復。如果想把備份的數據完整的恢復到新iOS設備上,建議在備份前設置備份密碼。
雖然加密備份比不加密備份可以解析出更多的數據,但最完整的數據提取方式還要數邏輯鏡像提取。
三、加密備份的解決方法
備份密碼破解
對於設置了備份密碼的蘋果手機、電腦上發現的蘋果加密備份,都需要進行密碼破解。但iOS 10.1之後,即使藉助GPU破解,每秒也只能嘗試100多個密碼,也就是說爆破一個簡單的6位字符的密碼可能要花1個月的時間,稍微複雜點的密碼或許要花上1年——暴力破解不可行。
備份密碼重置
對於iOS 11之後的蘋果設備的備份密碼是可以通過重置所有設置的方式移除的(iOS11之前的版本不支持),但也會相應的抹掉一些重要數據:Wi-Fi密碼、備份密碼、網站歷史記錄、健康數據等等。
最糟糕的是,重置密碼這種方式會篡改檢材原始數據,這樣一來就破壞了證據的原始性,並且這種方式對之前生成的加密備份仍然束手無策。
據青山老師介紹,2020年3月5日,某公安客戶就碰到了棘手案例(iPhone11/iOS13.3.1/備份加密):
通過盤古石手機取證解決方案,3分鐘內即拿到複雜的明文備份密碼。
通過這種方法,因重置備份密碼方式造成的丟失數據、破壞證據有效性的問題就迎刃而解了,其關鍵點是還可以藉助這個明文密碼對機主歷年來所有的加密備份進一步解析、取證。
千萬不要小看這些之前做的iTunes備份數據,這裡面往往會存在一些手機機身已經刪除且又無法恢復的數據!
四、備份數據缺失
用備份方式提取iOS設備數據,往往還有一些數據無法提取,比如機身自帶的郵件數據、某些特殊APP數據等,且在提取數據時也無法對應進行選擇,只能對數據進行全部備份。為此,盤古石提出了全盤邏輯鏡像和快速提權提取的解決方案,目前已支持到最新的iOS設備和iOS版本。
最後,青山老師通過一個iTunes備份密碼提取的實操演示,給大家展示了盤古石的完美解決方案,直播在大家的點贊中落下帷幕。
上圖是盤古石對iOS設備的產品和服務支持列表,可以看出跟藉助Checkm8/Checkra1n進行越獄後鏡像提取的方式是有明顯區別的:
- 後者只支持iOS12.3以上操作系統,盤古石支持iOS7.X-iOS13.3.1;
- 後者只支持iPhone5S-iPhone X,從2018年iPhone XR開始的一系列新型手機(上圖紅框內機型)都做不到支持,盤古石可支持到最新iPhone設備、最新iOS系統;
- 盤古石支持能力不僅僅侷限在邏輯鏡像提取,還可以做備份密碼提取、定向選擇App提取。
“聚焦iOS取證”系列更多精彩內容
☞聚焦iOS取證:你究竟去過哪?
☞聚焦iOS取證:越過屏鎖找到你
☞聚焦iOS取證:看不到的痕跡(日誌分析)
☞聚焦iOS取證:解開你的鑰匙串
閱讀更多 奇安信 的文章
