iOS设备取证获取四大手段

2015-12-22 17:31:21 552浏览

        对于移动取证审查者来说，最重要的是了解各种类型的移动取证技术以及它们能够恢复的数据。下面的内容列出了Apple设备上最常用的获取技术，本为您对此将会延伸更多的技术细节以及如何将这些技术与iPhone联系起来。

        iOS设备取证获取四大手段：

        1、备份

        分析备份目录。通过这种方式同步iPhone和备份iPhone是有差异的。基本上，同步是将iPhone上的文件与计算机上的文件保持一致，并备份一些关键的信息。而备份是保存SMS、通话记录、联系人和其他应用数据的副本。备份信息对于取证分析者来说是非常重要的，尤其是当取证分析者不能直接访问iPhone设备的时候。

        此类获取过程从iPhone的备份文件中读取文件，而这些备份文件是通过iTunes创建的(使用Apple的同步协议)。通过这种方法仅能获取通过协议精确同步的文件数据。但不管是什么原因，当你不能访问设备或者不能进行数据映像时，备份分析将是一个有效的方法。通过这种方式，许多关键信息都能够恢复。常用数据存储在SQLite数据库和属性列表文件中，协议支持对SQLite数据库和属性列表文件的同步。大多数已分配数据，或者换句话说，仍然保留在设备上的数据，都可以通过备份分析来恢复。此外，其他一些数据(例如已被删除的SMS、通话记录和联系人)通常也能够通过直接查询SQLite数据库来恢复。

        2、逻辑获取

        逻辑获取是直接从iPhone中得到数据，并且是优先从与iPhone同步过的计算机中恢复文件。现有的许多商用工具可以直接完成逻辑获取。然而，对于iOS开发者也必须清楚以下几点：获取是如何发生的;iPhone是否被修改过;这个过程不能获取什么。

        使用逻辑方法能够恢复iPhone文件系统中的活动文件和目录。但是，不能恢复在未分配空间(或不活跃空间)的数据。通过逻辑获取可得到下列条目所包含的一些常用数据：SMS、通话记录、日历事件、联系人、照片、Web访问记录、同步的电子邮件账户等。只有未删除的数据才能从这些文件中完全恢复。而某些应用程序，有时也能通过查询SQLite数据库文件来提取那些已删除的数据。

        3、物理获取

        物理获取采用的是映像iPhone。通过这个方式创建一个文件系统的逐位复制，类似于大多数计算机取证分析中所采用的方法。虽然这种方法有可能最大限度恢复数据(包括已删除文件)，但是这个过程更加复杂，并且要求更加精细的分析工具和技术。通过此方法，设备中的任何类型的数据都能够被恢复。对所得到的磁盘映像文件进行高级数据。

        4、非正规获取

        这种方法最常见的就是iOS系统越狱，属于黑客的行为。在这里不和大家仔细介绍，大家只要知道，苹果公司不对任何越狱的苹果设备维修保养。

        以上四种手段建议大家不要采取越狱的行为，一直到2010年，越狱iOS都是一种犯罪的行为。扣丁学堂更多的iOS培训视频免费观看，更多的iOS开发知识尽在扣丁学堂。

查看更多关于“iOS资讯”的相关文章>>