iTunes備份是電子數(shù)據(jù)調查人員在工作中常見的重要數(shù)據(jù)����,在最近一起反舞弊調查的案子中�����,筆者在對涉案人員使用的PC進行電子數(shù)據(jù)調查時���,從留存于硬盤上的多個iTunes備份中提取了涉案人員手機備份中的微信���、line、短信��、通訊錄�、備忘錄等大量文本、圖片�、音視頻信息,為案件調查提供了有用的線索����。
同時,在取證過程中也碰到了因關鍵性文件缺失導致大量密文數(shù)據(jù)無法轉換恢復的窘境��,面對近在眼前的數(shù)據(jù)卻無法探其究竟,心中雖有不甘���,但作為取證調查人員�����,仍必須尊重客觀事實���。為此,我們針對iTunes備份�����、恢復機理和取證方法做了專門的研究�,為iTunes備份取證做一個相對完整的規(guī)范和操作流程。
本文非純技術內容����,主要面對企事業(yè)單位內審���、監(jiān)察等一般調查人員�,以通俗的科普形式���,對iTunes取證分析做一個較為完整的介紹性闡述�,拋磚引玉,僅供調查工作參考使用�����。
iTunes是蘋果公司2001年1月10日推出的一款供Mac和PC使用的數(shù)字媒體播放���、管理程序�,發(fā)展至今���,已成為蘋果iphone�����、ipad����、ipod�����、ibook����、imac等設備必備的配套軟件����。
除了數(shù)字媒體播放管理功能�,iTunes還提供了一項重要功能,對iphone����、ipad等設備的配置信息、應用軟件進行數(shù)據(jù)備份�。
iTunes在連接設備并進行第一次同步的時候,會自動進行備份��,如果iDevice一直連著電腦反復進行同步���,只有第一次同步會自動進行備份����,此后的備份需要手動啟動���。無論是自動還是手動備份,都可以隨時取消���,如果覺得在同步時備份花費時間太長��,可以在同步開始�����,出現(xiàn)備份字樣時����,點相應的關閉或取消按鈕。(這也是為什么某些送檢計算機上存有不完整備份的原因:使用人iphone首次連接PC���,第一次同步時�,自動備份啟動����,隨后使用人選擇了取消。)
iTunes備份iPhone的內容有:短信��,彩信(含圖片)���,聯(lián)系人�����,日歷��,備忘錄����,相機膠卷,通話記錄��,個人收藏��,聲音���、郵件�、Safari���,app�����、網(wǎng)絡(Wi-Fi�����、蜂窩數(shù)據(jù)網(wǎng)���、VPN等)等設置及其它配置信息(輸入法、系統(tǒng)界面語言等)���。
▲ iTunes并不備份APP本身����,若APP被卸載后從備份恢復���,APP需再次安裝����,而不會自動出現(xiàn)�;
▲ iTunes只備份通過其本身對iPhone進行的操作和特定目錄內容���,使用第三方工具(如××助手之類)安裝的程序或創(chuàng)建目錄中的文件���,iTunes不會備份;
▲ iTunes生成的備份可以恢復到任何一個iDevice���,如其他的iPhone�����、iPad等���。
iTunes在不同操作系統(tǒng)中有不同的存儲路徑�,在未進行人為設置的情況下�����,一般情況下���,備份文件夾默認存儲在以下路徑:
Mac:
~/Library/Application Support/MobileSync/Backup/
Windows XP:
\Documents and Settings\<用戶名>\Application Data\Apple Computer\MobileSync\Backup\
Windows Vista以上版本:
\Users\<用戶名>\AppData\Roaming\Apple Computer\MobileSync\Backup\
iTunes對iDevice進行備份時�,會在上述文件夾中生成一個子文件夾�����,文件夾以iDevice的UDID(Unique Device Identifier唯一設備標識符)命名�,長度為40個字符,同一設備的不同備份的文件夾名稱均以UDID開頭�,但后續(xù)備份的文件夾會在UDID后添加備份的ISO日期和時間用以區(qū)別。如下圖所示:
一個完整備份的文件夾中����,應包含4個主要文件(注:新舊版本的iTunes備份文件夾結構略有不同���,此處僅列舉非加密版本備份的通常情況,不代表所有iTunes版本的備份)�����,這些文件儲存了一個完整備份幾乎所有重要的信息:
Info.plist-存儲iDevice設備信息���,包括電話號碼,ICCID���,IMEI等����。
Manifest.mdbd-存儲有關備份文件的信息�����,包括:域�����、路徑、文件大小�����、MAC時間等����。
Manifest.plist-存儲有關備份內容的信息,包括設備上安裝的應用程序列表等�����。
Status.plist-存儲有關備份過程的信息��,從中可以看出備份是否成功�。
當然,備份文件夾同時包含了備份文件本身�,即上文提到的短信,彩信(含圖片)���,聯(lián)系人���,日歷,備忘錄�����,相機膠卷,通話記錄����,個人收藏,聲音��、郵件����、Safari�����,app�����、網(wǎng)絡等個人設置�����、數(shù)據(jù)和其它配置信息��。
需要注意的是,通過iTunes備份后的文件名將被改成由其名稱SHA-1哈希��、路徑和域組成的一個字符串��,且去掉了文件擴展名���。因此��,在windows系統(tǒng)中���,單從備份文件的名稱無法識別究竟是什么文件,必須通過查看文件頭才能識別���。
(二進制編輯器中顯示文件為一個sqlite3數(shù)據(jù)庫文件)
如此命名的方式����,從理論上來講的確存在hash沖突的可能性��,但蘋果公司仍然采取這種方式���,也許是認為這種可能性微乎其微���,不會在實際應用中發(fā)生��。
加密的iTunes備份和未加密的iTunes備份有很大的區(qū)別����,在某種程度上����,對于專家來說,受密碼保護的備份比沒有受密碼的備份更有價值�����。關于備份加密����,蘋果公司的說法如下:
iTunes的加密備份功能可以鎖定和編碼用戶信息����,加密iTunes的備份范圍也有所擴展,如保存的密碼����、無線網(wǎng)絡設置、網(wǎng)站歷史��、健康數(shù)據(jù)等。
蘋果公司的算法安全度極高�,使加密后的數(shù)據(jù)對任何知道確切加密方法的攻擊者來說仍然是安全的,雖然加密和未加密備份中都保存了iOS鑰匙串�����,但未加密備份的iOS鑰匙串是以指定設備的密鑰進行加密的��,因此只能從該特定設備進行解密���,密碼驗證由iDevice通過iOS內核完成�,而不是在iTunes中完成�����。這意味著無法在沒有密碼的情況下將加密iOS備份恢復到任何其他設備�。
通俗點說,如果只是獲得了在PC上保存的iTunes加密備份���,若不能取得原iDevice設備����,破解僅存在理論上的可行性,根據(jù)目前已知計算機的算力�,高端GPU每秒只能嘗試100-150個密鑰,若想通過暴力破解����,所用時間可能會長達幾年到幾十年不等,幾乎是不可能完成的任務���。
通過上述分析�����,我們知道了iTunes備份的基本原則���,也了解到加密備份的安全性問題,對于iTunes備份數(shù)據(jù)取證來說���,這些都是繞不過的核心問題��。
1.加密備份
根據(jù)iTunes備份的技術特征,加密備份需在取得并掌握原備份iDevice密碼的前提下才能進行解密和數(shù)據(jù)解析��。
2.未加密備份
使用各類專業(yè)取證軟件��,或iBackupBot等第三方小工具,可以對iTunes備份進行解析��、修改等操作����。
3.不完整備份
上文中提到,用戶第一次將iDevice連接到iTunes時����,會自動開始備份進程,如果用戶不希望進行備份���,必須手動取消�����。正是因為這個功能���,在電子數(shù)據(jù)取證中,經(jīng)常會發(fā)現(xiàn)PC上存留有iTunes備份文件夾����。
由于用戶的取消,此類iTunes備份無法通過常規(guī)工具進行數(shù)據(jù)解析���,因此我們需要進行一定的判斷����。Info.plist、Manifest.mdbd�、Manifest.plist、Status.plist這4個文件�,等于一個索引,缺失的話就無法用工具軟件取證�����,只能通過二進制文件頭進行辨識��。我們可以手動查看每個文件��,也可以通過一些簡單的腳本����,把沒有后綴名的各類文件按照文件頭標識自動添加相應的后綴名進行歸類,方便查看����。
我們可能會遇到這樣的場景�,取得了被調查對象的iphone��,而iphone是加密的����。這種情況下���,除了強行破解外看似毫無辦法�����。而強行破解在一方面會破壞原始介質的數(shù)據(jù)完整性��,另一方面則是技術門檻太高���,無形中提高了調查成本。
那有沒有什么其他途徑可以嘗試呢�����?答案是有的——還是今天的主角——iTunes備份����。
iphone的使用者,基本上都會用到itunes�����,現(xiàn)場調查應該特別留意獲取iphone使用者的PC設備,其中很有很可能就存有破解iphone密碼的“鑰匙”���。
因為在創(chuàng)建備份時�,iTunes會使用十六進制編碼的SHA1哈希文件名存儲備份文件�,并將它們列在備份的plisht文件中。如果在調查對象的筆記本電腦存有iTunes備份����,那么備份中的plist文件就可能是我們進一步取證的一個關鍵突破點。
通過plist通??梢垣@取到相應的iDevice列表,它可以用來在取證軟件和被調查的iphone等設備之間建立“信任”關系���。此時�,我們就可以使用iTunes從嫌疑人的iPhone中直接備份數(shù)據(jù)�����,而無需在原始iphone上進行包括解鎖在內的任何操作�。
備份完成后,進一步將iTunes備份完整地還原到另一部iphone中�,這樣�,我們就能在沒有密碼的情況下進入iphone了���。
電子取證往往要結合多種調查和技術手段,面對問題�����,只要有探索的精神���,就可能在看似不可能的困境下����,取得出人意料的突破����。
參考文獻:
https://www.theiphonewiki.com/wiki/ITunes_Backup
https://www.cnblogs.com/pieces0310/p/4945571.html
作者:周曉鳴
編輯:蘑菇菇
文章來源:“內控和反舞弊研究”微信公眾號。
