iTunes備份是電子數(shù)據(jù)調(diào)查人員在工作中常見(jiàn)的重要數(shù)據(jù)�,在最近一起反舞弊調(diào)查的案子中,筆者在對(duì)涉案人員使用的PC進(jìn)行電子數(shù)據(jù)調(diào)查時(shí)����,從留存于硬盤(pán)上的多個(gè)iTunes備份中提取了涉案人員手機(jī)備份中的微信、line��、短信��、通訊錄�����、備忘錄等大量文本����、圖片、音視頻信息�,為案件調(diào)查提供了有用的線索。
同時(shí)��,在取證過(guò)程中也碰到了因關(guān)鍵性文件缺失導(dǎo)致大量密文數(shù)據(jù)無(wú)法轉(zhuǎn)換恢復(fù)的窘境�,面對(duì)近在眼前的數(shù)據(jù)卻無(wú)法探其究竟���,心中雖有不甘����,但作為取證調(diào)查人員,仍必須尊重客觀事實(shí)����。為此,我們針對(duì)iTunes備份�、恢復(fù)機(jī)理和取證方法做了專門(mén)的研究,為iTunes備份取證做一個(gè)相對(duì)完整的規(guī)范和操作流程�����。
本文非純技術(shù)內(nèi)容�����,主要面對(duì)企事業(yè)單位內(nèi)審�、監(jiān)察等一般調(diào)查人員,以通俗的科普形式���,對(duì)iTunes取證分析做一個(gè)較為完整的介紹性闡述���,拋磚引玉,僅供調(diào)查工作參考使用。
iTunes是蘋(píng)果公司2001年1月10日推出的一款供Mac和PC使用的數(shù)字媒體播放����、管理程序,發(fā)展至今�����,已成為蘋(píng)果iphone����、ipad、ipod�����、ibook�����、imac等設(shè)備必備的配套軟件�。
除了數(shù)字媒體播放管理功能,iTunes還提供了一項(xiàng)重要功能�,對(duì)iphone、ipad等設(shè)備的配置信息����、應(yīng)用軟件進(jìn)行數(shù)據(jù)備份。
iTunes在連接設(shè)備并進(jìn)行第一次同步的時(shí)候���,會(huì)自動(dòng)進(jìn)行備份����,如果iDevice一直連著電腦反復(fù)進(jìn)行同步���,只有第一次同步會(huì)自動(dòng)進(jìn)行備份�,此后的備份需要手動(dòng)啟動(dòng)�����。無(wú)論是自動(dòng)還是手動(dòng)備份�����,都可以隨時(shí)取消�,如果覺(jué)得在同步時(shí)備份花費(fèi)時(shí)間太長(zhǎng),可以在同步開(kāi)始����,出現(xiàn)備份字樣時(shí)���,點(diǎn)相應(yīng)的關(guān)閉或取消按鈕。(這也是為什么某些送檢計(jì)算機(jī)上存有不完整備份的原因:使用人iphone首次連接PC����,第一次同步時(shí),自動(dòng)備份啟動(dòng)����,隨后使用人選擇了取消。)
iTunes備份iPhone的內(nèi)容有:短信�����,彩信(含圖片)�,聯(lián)系人,日歷��,備忘錄�,相機(jī)膠卷,通話記錄�����,個(gè)人收藏���,聲音���、郵件���、Safari���,app�、網(wǎng)絡(luò)(Wi-Fi��、蜂窩數(shù)據(jù)網(wǎng)��、VPN等)等設(shè)置及其它配置信息(輸入法���、系統(tǒng)界面語(yǔ)言等)��。
▲ iTunes并不備份APP本身����,若APP被卸載后從備份恢復(fù)�����,APP需再次安裝,而不會(huì)自動(dòng)出現(xiàn)�����;
▲ iTunes備份必須通過(guò)第三方工具查看����;
▲ iTunes只備份通過(guò)其本身對(duì)iPhone進(jìn)行的操作和特定目錄內(nèi)容,使用第三方工具(如××助手之類(lèi))安裝的程序或創(chuàng)建目錄中的文件���,iTunes不會(huì)備份��;
▲ iTunes生成的備份可以恢復(fù)到任何一個(gè)iDevice���,如其他的iPhone、iPad等�����。
iTunes在不同操作系統(tǒng)中有不同的存儲(chǔ)路徑�,在未進(jìn)行人為設(shè)置的情況下,一般情況下��,備份文件夾默認(rèn)存儲(chǔ)在以下路徑:
Mac:
~/Library/Application Support/MobileSync/Backup/
Windows XP:
\Documents and Settings\<用戶名>\Application Data\Apple Computer\MobileSync\Backup\
Windows Vista以上版本:
\Users\<用戶名>\AppData\Roaming\Apple Computer\MobileSync\Backup\
iTunes對(duì)iDevice進(jìn)行備份時(shí)����,會(huì)在上述文件夾中生成一個(gè)子文件夾�,文件夾以iDevice的UDID(Unique Device Identifier唯一設(shè)備標(biāo)識(shí)符)命名��,長(zhǎng)度為40個(gè)字符�����,同一設(shè)備的不同備份的文件夾名稱均以UDID開(kāi)頭����,但后續(xù)備份的文件夾會(huì)在UDID后添加備份的ISO日期和時(shí)間用以區(qū)別��。如下圖所示:
一個(gè)完整備份的文件夾中�,應(yīng)包含4個(gè)主要文件(注:新舊版本的iTunes備份文件夾結(jié)構(gòu)略有不同,此處僅列舉非加密版本備份的通常情況��,不代表所有iTunes版本的備份)�����,這些文件儲(chǔ)存了一個(gè)完整備份幾乎所有重要的信息:
Info.plist-存儲(chǔ)iDevice設(shè)備信息�,包括電話號(hào)碼,ICCID���,IMEI等��。
Manifest.mdbd-存儲(chǔ)有關(guān)備份文件的信息�,包括:域、路徑�����、文件大小���、MAC時(shí)間等����。
Manifest.plist-存儲(chǔ)有關(guān)備份內(nèi)容的信息��,包括設(shè)備上安裝的應(yīng)用程序列表等��。
Status.plist-存儲(chǔ)有關(guān)備份過(guò)程的信息�,從中可以看出備份是否成功。
當(dāng)然�����,備份文件夾同時(shí)包含了備份文件本身,即上文提到的短信����,彩信(含圖片),聯(lián)系人��,日歷��,備忘錄����,相機(jī)膠卷,通話記錄���,個(gè)人收藏,聲音�、郵件、Safari���,app�、網(wǎng)絡(luò)等個(gè)人設(shè)置���、數(shù)據(jù)和其它配置信息���。
需要注意的是����,通過(guò)iTunes備份后的文件名將被改成由其名稱SHA-1哈希����、路徑和域組成的一個(gè)字符串,且去掉了文件擴(kuò)展名���。因此��,在windows系統(tǒng)中�����,單從備份文件的名稱無(wú)法識(shí)別究竟是什么文件��,必須通過(guò)查看文件頭才能識(shí)別��。
(二進(jìn)制編輯器中顯示文件為一個(gè)sqlite3數(shù)據(jù)庫(kù)文件)
如此命名的方式�����,從理論上來(lái)講的確存在hash沖突的可能性���,但蘋(píng)果公司仍然采取這種方式�,也許是認(rèn)為這種可能性微乎其微�,不會(huì)在實(shí)際應(yīng)用中發(fā)生。
加密的iTunes備份和未加密的iTunes備份有很大的區(qū)別����,在某種程度上,對(duì)于專家來(lái)說(shuō)�����,受密碼保護(hù)的備份比沒(méi)有受密碼的備份更有價(jià)值�。關(guān)于備份加密,蘋(píng)果公司的說(shuō)法如下:
iTunes的加密備份功能可以鎖定和編碼用戶信息����,加密iTunes的備份范圍也有所擴(kuò)展,如保存的密碼����、無(wú)線網(wǎng)絡(luò)設(shè)置�、網(wǎng)站歷史、健康數(shù)據(jù)等�。
蘋(píng)果公司的算法安全度極高,使加密后的數(shù)據(jù)對(duì)任何知道確切加密方法的攻擊者來(lái)說(shuō)仍然是安全的,雖然加密和未加密備份中都保存了iOS鑰匙串�����,但未加密備份的iOS鑰匙串是以指定設(shè)備的密鑰進(jìn)行加密的��,因此只能從該特定設(shè)備進(jìn)行解密�����,密碼驗(yàn)證由iDevice通過(guò)iOS內(nèi)核完成����,而不是在iTunes中完成。這意味著無(wú)法在沒(méi)有密碼的情況下將加密iOS備份恢復(fù)到任何其他設(shè)備�����。
通俗點(diǎn)說(shuō)�����,如果只是獲得了在PC上保存的iTunes加密備份�����,若不能取得原iDevice設(shè)備,破解僅存在理論上的可行性���,根據(jù)目前已知計(jì)算機(jī)的算力�����,高端GPU每秒只能?chē)L試100-150個(gè)密鑰��,若想通過(guò)暴力破解�����,所用時(shí)間可能會(huì)長(zhǎng)達(dá)幾年到幾十年不等�����,幾乎是不可能完成的任務(wù)�。
通過(guò)上述分析�����,我們知道了iTunes備份的基本原則�,也了解到加密備份的安全性問(wèn)題����,對(duì)于iTunes備份數(shù)據(jù)取證來(lái)說(shuō)��,這些都是繞不過(guò)的核心問(wèn)題�����。
1.加密備份
根據(jù)iTunes備份的技術(shù)特征�����,加密備份需在取得并掌握原備份iDevice密碼的前提下才能進(jìn)行解密和數(shù)據(jù)解析��。
2.未加密備份
使用各類(lèi)專業(yè)取證軟件����,或iBackupBot等第三方小工具����,可以對(duì)iTunes備份進(jìn)行解析、修改等操作���。
3.不完整備份
上文中提到���,用戶第一次將iDevice連接到iTunes時(shí)���,會(huì)自動(dòng)開(kāi)始備份進(jìn)程,如果用戶不希望進(jìn)行備份��,必須手動(dòng)取消����。正是因?yàn)檫@個(gè)功能,在電子數(shù)據(jù)取證中�,經(jīng)常會(huì)發(fā)現(xiàn)PC上存留有iTunes備份文件夾。
由于用戶的取消���,此類(lèi)iTunes備份無(wú)法通過(guò)常規(guī)工具進(jìn)行數(shù)據(jù)解析���,因此我們需要進(jìn)行一定的判斷。Info.plist���、Manifest.mdbd�、Manifest.plist�、Status.plist這4個(gè)文件,等于一個(gè)索引�����,缺失的話就無(wú)法用工具軟件取證,只能通過(guò)二進(jìn)制文件頭進(jìn)行辨識(shí)�����。我們可以手動(dòng)查看每個(gè)文件����,也可以通過(guò)一些簡(jiǎn)單的腳本�,把沒(méi)有后綴名的各類(lèi)文件按照文件頭標(biāo)識(shí)自動(dòng)添加相應(yīng)的后綴名進(jìn)行歸類(lèi),方便查看��。
我們可能會(huì)遇到這樣的場(chǎng)景�,取得了被調(diào)查對(duì)象的iphone,而iphone是加密的�。這種情況下,除了強(qiáng)行破解外看似毫無(wú)辦法�����。而強(qiáng)行破解在一方面會(huì)破壞原始介質(zhì)的數(shù)據(jù)完整性���,另一方面則是技術(shù)門(mén)檻太高���,無(wú)形中提高了調(diào)查成本�����。
那有沒(méi)有什么其他途徑可以嘗試呢����?答案是有的——還是今天的主角——iTunes備份�����。
iphone的使用者�����,基本上都會(huì)用到itunes���,現(xiàn)場(chǎng)調(diào)查應(yīng)該特別留意獲取iphone使用者的PC設(shè)備�����,其中很有很可能就存有破解iphone密碼的“鑰匙”�。
因?yàn)樵趧?chuàng)建備份時(shí)�����,iTunes會(huì)使用十六進(jìn)制編碼的SHA1哈希文件名存儲(chǔ)備份文件,并將它們列在備份的plisht文件中���。如果在調(diào)查對(duì)象的筆記本電腦存有iTunes備份���,那么備份中的plist文件就可能是我們進(jìn)一步取證的一個(gè)關(guān)鍵突破點(diǎn)��。
通過(guò)plist通??梢垣@取到相應(yīng)的iDevice列表,它可以用來(lái)在取證軟件和被調(diào)查的iphone等設(shè)備之間建立“信任”關(guān)系����。此時(shí),我們就可以使用iTunes從嫌疑人的iPhone中直接備份數(shù)據(jù)�����,而無(wú)需在原始iphone上進(jìn)行包括解鎖在內(nèi)的任何操作�。
備份完成后,進(jìn)一步將iTunes備份完整地還原到另一部iphone中��,這樣��,我們就能在沒(méi)有密碼的情況下進(jìn)入iphone了。
電子取證往往要結(jié)合多種調(diào)查和技術(shù)手段��,面對(duì)問(wèn)題���,只要有探索的精神����,就可能在看似不可能的困境下����,取得出人意料的突破。
參考文獻(xiàn):
https://www.theiphonewiki.com/wiki/ITunes_Backup
https://www.cnblogs.com/pieces0310/p/4945571.html
作者:周曉鳴
編輯:蘑菇菇
文章來(lái)源:“內(nèi)控和反舞弊研究”微信公眾號(hào)���。
