扣丁學堂iOS培訓簡述Apple設備上最常用的取證獲取類型
2019-08-30 11:00:21
3501瀏覽
本篇文章扣丁學堂iOS培訓小編給小伙伴們分享一下Apple設備上最常用的獲取技術(shù)��,將討論更多技術(shù)細節(jié)以及如何將這些技術(shù)與iPhone聯(lián)系起來�����。對此感興趣的小伙伴就隨小編來了解一下吧��。
扣丁學堂iOS開發(fā)培訓課程 Apple設備上最常用的取證獲取類型:
1���、備份
iPhone取證的一個常用方法是分析備份目錄。同步iPhone和備份iPhone是有差異的���?;旧?����,同步是將iPhone上的文件與計算機上的文件保持一致����,并備份一些關鍵的信息���。而備份是保存SMS��、通話記錄��、聯(lián)系人和其他應用數(shù)據(jù)的副本�����。備份信息對于取證分析者來說是非常重要的���,尤其是當取證分析者不能直接訪問iPhone設備的時候����。
此類獲取過程從iPhone的備份文件中讀取文件�����,而這些備份文件是通過iTunes創(chuàng)建的(使用Apple的同步協(xié)議)����。通過這種方法僅能獲取通過協(xié)議精確同步的文件數(shù)據(jù)。但不管是什么原因��,當你不能訪問設備或者不能進行數(shù)據(jù)映像時����,備份分析將是一個有效的方法。
通過這種方式����,許多關鍵信息都能夠恢復���。常用數(shù)據(jù)存儲在SQLite數(shù)據(jù)庫和屬性列表文件中,協(xié)議支持對SQLite數(shù)據(jù)庫和屬性列表文件的同步��。大多數(shù)已分配數(shù)據(jù)���,或者換句話說����,仍然保留在設備上的數(shù)據(jù)���,都可以通過備份分析來恢復���。此外,其他一些數(shù)據(jù)(例如已被刪除的SMS�����、通話記錄和聯(lián)系人)通常也能夠通過直接查詢SQLite數(shù)據(jù)庫來恢復�。
2�、邏輯獲取
這種方法直接從iPhone中獲取數(shù)據(jù),并優(yōu)先從與iPhone同步過的計算機中恢復文件?��,F(xiàn)有的許多商用工具可以直接完成邏輯獲取��。然而��,取證分析者也必須清楚以下幾點:獲取是如何發(fā)生的��,iPhone是否被修改過���,這個過程不能獲取什么����。
使用邏輯方法能夠恢復iPhone文件系統(tǒng)中的活動文件和目錄���。但是���,不能恢復在未分配空間(或不活躍空間)的數(shù)據(jù)。通過邏輯獲取可得到下列條目所包含的一些常用數(shù)據(jù):SMS����、通話記錄、日歷事件�、聯(lián)系人、照片����、Web訪問記錄�����、同步的電子郵件賬戶等�����。只有未刪除的數(shù)據(jù)才能從這些文件中完全恢復����。而某些應用程序���,有時也能通過查詢SQLite數(shù)據(jù)庫文件來提取那些已刪除的數(shù)據(jù)��。
3�、物理獲取
第三種方法是通過物理獲取來映像iPhone�。這個過程創(chuàng)建一個文件系統(tǒng)的逐位復制,類似于大多數(shù)計算機取證分析中所采用的方法�。雖然這種方法有可能最大限度恢復數(shù)據(jù)(包括已刪除文件),但是這個過程更加復雜��,并且要求更加精細的分析工具和技術(shù)��。通過此方法��,設備中的任何類型的數(shù)據(jù)都能夠被恢復����。
對所得到的磁盤映像文件進行高級數(shù)據(jù)12
iOS取證實戰(zhàn):調(diào)查、分析與移動安全分析����,也有可能恢復GPS坐標、蜂窩發(fā)射塔位置�����,甚至是已刪除的短信和彩信����。很多時候,將各種文件中提取的元數(shù)據(jù)拼接在一起也可能得到一些其他的分析結(jié)論�����。例如����,通過比較照片恢復出來的時間戳和SMS記錄中的時間戳�����,可以知道這張照片曾經(jīng)被發(fā)送給了誰�����。雖然使用備份和邏輯獲取也可以恢復此類型的信息��,但使用物理映像技術(shù)有可能恢復更多數(shù)據(jù)����。
4��、非傳統(tǒng)方法
也有一些不太常見的����、有爭議的方法通過修改設備固件使設備許可更多功能,使得研究者可從Apple設備中提取那些用其他方法可能無法得到的數(shù)據(jù)��。越獄是這些技術(shù)中的一種��。為了越獄一臺設備���,固件分區(qū)將被替換為一個黑客(
hacked)版本�����。這個黑客固件分區(qū)包含了一個安裝包�����,此安裝包允許用戶下載那些正常情況下無法通過App
Store獲得的工具和程序�����。Apple公司的立場是�����,這種技術(shù)將造成盜版的猖獗和公司技術(shù)支持費用的增加(
Moren���,2010)。因此�,蘋果公司不對任何越獄過的設備提供保修服務,實際上直到2010年初�,越獄都是一種非法的行為。
數(shù)字千年版權(quán)法案( Digital Millennium Copyright
Act�,DMCA)通過一個包含反規(guī)避技術(shù)的來支持像Apple這樣的公司。這個法案于1998年頒布,法案包含了“規(guī)避技術(shù)保護措施”條款���。這一條款的一個部分聲明禁止規(guī)避受版權(quán)保護的技術(shù)����。因為越獄技術(shù)繞過標準固件分區(qū)并修改固件以許可設備獲得更多功能)��,所以在出現(xiàn)之后的一些年里��,它都被DMCA列入不被豁免的名單(美國版權(quán)局����,1998)。每隔三年��,DMCA被進行評估和審查以確定此法案是否仍然對某些特定的技術(shù)適用����。
隨著iOS系統(tǒng)的不斷更新和突破,未來的軟件市場iOS主導地位愈加不可撼動���??鄱W堂官網(wǎng)頂級講師錄制了iOS在線課程視頻講座免費提供給那些鐘愛于IT行業(yè)的人才�,由淺入深的帶你入門ios開發(fā)技術(shù)。想要了解更多內(nèi)容的小伙伴可以登錄扣丁學堂官網(wǎng)咨詢。想要學好iOS開發(fā)小編給大家推薦口碑良好的扣丁學堂�,扣丁學堂有專業(yè)老師制定的iOS學習路線圖輔助學員學習,此外還有與時俱進的iOS課程體系和iOS視頻教程供大家學習����,想要學好iOS開發(fā)技術(shù)的小伙伴快快行動吧���?���?鄱W堂技術(shù)交流群:279521237�����。
【關注微信公眾號獲取更多學習資料】 【掃碼進入Python全棧開發(fā)免費公開課】
查看更多關于“iOS開發(fā)培訓”的相關資訊>>
標簽:
iOS開發(fā)培訓
iOS視頻教程
返回頂部