本文由Athena编译,陈裕铭、Roe校对,转载请注明。
这部iPhone出了什么问题?我先看看(哦,它被锁定了!),然后将其关闭,弹出SIM卡并将其交给取证专家。好吧,你刚刚犯了五个最常见的错误中的三个,这使得后续的解锁和提取工作都变得更加困难。这篇文章将带你了解iOS取证中最常见的错误及其后果。
关机
iOS取证中,第一步,也可能是最重要的一步(或重要之一)是数据固定,以确保设备内容不会被修改,不会持续放电,不会被远程锁定或擦除等。因此,首先要做的应该是打开飞行模式或将设备放入屏蔽箱。
当然,关闭电源的设备的确不会被意外连接或快速耗电。但是,如果设备已关闭电源,就会将设备从有利于取证的 AFU模式切换到锁定BFU模式。 由此产生以下问题:
1. 加密密钥已从设备 RAM 中擦除(无法进行AFU提取)
2. 密码破解攻击下降到 BFU 速度(比AFU攻击慢得多)
3. 无法使用生物特征解锁。
4. 无法使用锁定记录;无法使用逻辑提取
5. 极其有限的BFU提取
*BFU是Before First Unlock(首次解锁前)的首字母缩写。BFU指的是已经关机的苹果手机或者重启以后没有解锁进过手机桌面的苹果手机。与之相对的是AFU是After First Unlock(首次解锁后)的首字母缩写。AFU指的是开机以后已经用屏幕密码解过锁的苹果手机。
*我们建议首先激活飞行模式(即使设备被锁定,通常也可以),如有必要检查并手动禁用 Wi-Fi和蓝牙切换(如果用户在该模式下启用了一次 Wi-Fi,即使在飞行模式下也可能保持开启)
弹出SIM卡
移动取证中第二个常见的错误是什么?答案是移除SIM卡。这样通常只是为了确保设备不会意外连接到移动网络。但这会导致在设备运行 iOS 11、12 或 13 时发生以下情况:
1.手机立即锁定
2.生物识别解锁被禁用(直到使用密码解锁)
3.USB限制模式被激活
简单来说,弹出SIM卡可能会完全失去解锁或进一步分析设备的机会。
Face ID/Touch ID iPhone取证禁忌
如果你手持一部配有Face ID 的iPhone,你很可能会浪费一次或多次尝试来解锁。为什么?当Face ID 识别到有面部靠近时,设备会自动尝试面部解锁。
请看这段YouTube视频展示了iPhone X发布会事故。
对于带有Touch ID的iPhone,请确保不要触摸指纹传感器。否则,你将失去五次生物识别解锁尝试中的一次。
重置备份密码
在大多数情况下(除非设备可以越狱或易受checkm8 攻击),iTunes 备份是数据的主要来源。如果备份受密码保护,则可能会比较复杂。从iOS 10.1开始,暴力破解密码恢复几乎是不可能的。但是,iOS 11 引入了重置 iTunes备份密码的功能。
问题是苹果生态系统中的所有密码都是相互连接的。如果你重置了备份密码,那么 iPhone 密码也会被重置。因此可能会产生非常棘手的后果。首先,你将丢失已保存的Wi-Fi密码、Apple Pay交易历史记录、下载的 Exchange 邮件和其他一些数据。其次(这很关键),你会失去所有你可以用密码可以做的操作。比如,包括(但不限于)访问iCloud中的端到端加密数据,包括 iCloud 钥匙串、同步消息、健康数据等。
iOS逻辑提取
只需创建iTunes备份就可以进行逻辑提取?事实上,逻辑提取并不像听起来那么简单,以下可能会出错。
使用iTunes创建备份。这通常是可以接受的;一般取证软件都能够创建与iTunes完全相同的备份。事实上,备份是由iPhone本身上运行的服务完成的,而不是由桌面软件完成的。但是,如果你忘记提前禁用iTunes同步(在将iPhone连接到计算机之前),设备上的内容可能会发生变化。
进行无密码备份。没有密码的备份更容易分析,对吧?是的,确实如此,但没有密码的备份包含的数据少于受密码保护的备份,至少不会获取到钥匙串、健康数据、Safari 浏览历史和通话记录。
事实上,我们还忽略了逻辑提取不限于备份。你还可以获得媒体文件(不仅是文件,还包括元数据,有时甚至是已删除文件)、应用程序共享数据(包括但不限于媒体播放器、办公软件甚至一些密码管理器)、崩溃和诊断日志( 真正有助于构建时间线的最终数据来源), 所有这些都与用户是否拥有备份密码无关。
总结
以上列出了几个取证专家最常犯的错误。
严格遵循正确的取证工作流程,记录每一步操作,确保步骤可重复且结果可验证,交叉匹配结果和正确报告都是必不可少的。仅仅使用“工具”是远远不够的,即使它是市面上最好的取证工具。
取证环境总在变化,要么跟上,要么落后。参加培训课程是追踪不断变化的移动取证和计算机取证环境的方式之一。(CDF电子取证训练营采用上机实训培训形式,模拟最新犯罪案例场景,详情扫码咨询郑营长。)
原文链接:
https://blog.elcomsoft.com/2020/01/the-worst-mistakes-in-ios-forensics/
参考链接:
https://blog.elcomsoft.com/2019/06/unusual-iphone-backups/
https://blog.elcomsoft.com/2017/11/ios-11-makes-logical-acquisition-trivial-allows-resetting-itunes-backup-password/
https://blog.elcomsoft.com/2019/10/four-and-a-half-apple-passwords/
https://blog.elcomsoft.com/2017/11/ios-11-horror-story-the-rise-and-fall-of-ios-security/
https://blog.elcomsoft.com/2019/06/digital-forensics-training-required/
郑营长
扫码或添加:152 7193 2998
原文始发于微信公众号(数据安全与取证):聊一聊iOS取证中的致命错误
