淺談coding學(xué)堂iOS開發(fā)培訓(xùn)之iPhone取證的五個(gè)分級(jí)技術(shù)
2016-01-21 11:37:47
1492瀏覽
在目前生活中,隨著移動(dòng)設(shè)備在過去的幾年里有了很大的發(fā)展��。曾經(jīng)手機(jī)只是簡(jiǎn)單地被用于打電話�����,隨著技術(shù)的不斷成熟����,手機(jī)也具備了收發(fā)短信、創(chuàng)建日常事務(wù)提醒和保存聯(lián)系人的功能。比如有人丟失手機(jī)���,或手機(jī)損壞�����,這時(shí)對(duì)于移動(dòng)手機(jī)用戶取證審查者來(lái)說���,最重要的是了解各種類型的移動(dòng)取證T具以及它們能夠恢復(fù)的數(shù)據(jù)。因此分級(jí)系統(tǒng)提供了一個(gè)框架�,并能夠幫助審查者識(shí)別不同工具間的區(qū)別�����。下面我們一起來(lái)一起看一下吧�。
1、人工提?����。?/strong>人工提取的方法是指通過操作設(shè)備的鍵盤來(lái)瀏覽屏幕�,直接查看手機(jī)上的數(shù)據(jù)內(nèi)容。發(fā)現(xiàn)的信息需要手工記錄(通常用數(shù)碼相機(jī))���。在這個(gè)級(jí)別����,不可能恢復(fù)已經(jīng)被刪除的信息。也有一些工具幫助研究人員更容易地將手工獲取的信息記錄下來(lái)����。這些工具捕獲設(shè)備上展示的內(nèi)容,然后進(jìn)行數(shù)字化處理�,以便以后查找和存儲(chǔ)。
2��、邏輯提取:一般通過電纜線將移動(dòng)設(shè)備與裝有特殊軟件的取證硬件或者取證工作站連接起來(lái)��。審查者也可以選擇用藍(lán)牙代替電纜線��。一旦連接上后�����,軟件工具通過調(diào)用命令去請(qǐng)求并提取設(shè)備上的已分配文件���。如Brothers解釋的那樣���,計(jì)算機(jī)啟動(dòng)命令并發(fā)送到設(shè)備上,設(shè)備的處理器會(huì)解釋這個(gè)指令,然后即可在設(shè)備的內(nèi)存中檢索所要獲取的數(shù)據(jù)并發(fā)回給取證工作站由審查者審查����。當(dāng)前大多數(shù)iOS開發(fā)課程里都會(huì)對(duì)取證工具講訴一遍。
3����、十六進(jìn)制轉(zhuǎn)儲(chǔ):十六進(jìn)制轉(zhuǎn)儲(chǔ)通常稱為“物理提取”,相比較前面兩個(gè)級(jí)別來(lái)說�����,它提供了更多的數(shù)據(jù)給研究人員��。執(zhí)行這種類型的取證時(shí)�,一般通過電纜線將設(shè)備和取證工作站連接起來(lái)�����。有時(shí)���,也通過設(shè)備的數(shù)據(jù)端口JTAG(內(nèi)部測(cè)試連接)或者Wi-Fi將設(shè)備連接到電腦上��。這種類型不再通過電腦啟動(dòng)命令����,而是將未簽名的代碼植入到設(shè)備上(通常是植入到內(nèi)存中),命令手機(jī)將用戶數(shù)據(jù)復(fù)制到電腦上�。生成的數(shù)據(jù)被復(fù)制、傳輸��,并且作為原始磁盤映像存儲(chǔ)起來(lái)��。因?yàn)樯傻挠诚袷嵌M(jìn)制格式����,此級(jí)別要求分析者擁有這方面的專業(yè)技能知識(shí)。
4���、芯片拆解:芯片拆解是指從設(shè)備的內(nèi)存芯片中直接獲取數(shù)據(jù)(鑒于iPhone采用的是NAND閃存內(nèi)存)���。將芯片通過物理手段從設(shè)備中拆卸下來(lái),并且利用芯片讀取器提取存儲(chǔ)的數(shù)據(jù)����。Brothers指出,這種提取類型類似于用傳統(tǒng)的硬盤映像技術(shù)從計(jì)算機(jī)或筆記本電腦中映像硬件驅(qū)動(dòng)器��。如金字塔模型中描述的那樣���,這種方法比起人工提取��、邏輯提取或者十六進(jìn)制轉(zhuǎn)儲(chǔ)獲取技術(shù)更具技術(shù)挑戰(zhàn)����。在這個(gè)級(jí)別,對(duì)研究者的技能知識(shí)要求非常廣�����,取證獲取的時(shí)間也非常長(zhǎng)�����。如此高要求的原因��,主要由于以下幾個(gè)方面:多樣化的芯片類型�、大量原始的二進(jìn)制數(shù)據(jù)格式,以及提取過程中導(dǎo)致芯片物理?yè)p壞的風(fēng)險(xiǎn)����。
5����、微碼讀?��。?/strong>此方法涉及人工查看數(shù)據(jù)以及解釋內(nèi)存芯片上的數(shù)據(jù)。通過分析芯片上的物理電平門限值�,審查者可以將0和l翻譯為ASCII字符。這個(gè)方法要花費(fèi)大量的時(shí)間和成本���,并且要求分析者對(duì)閃存內(nèi)存和文件系統(tǒng)的所有方面都了如指掌���。目前還沒有商用工具支持對(duì)Apple設(shè)備進(jìn)行微碼讀取。
查看更多關(guān)于“iOS培訓(xùn)資訊”的相關(guān)文章>>
標(biāo)簽:
返回頂部