扣丁学堂iOS培训简述Apple设备上最常用的取证获取类型

2019-08-30 11:00:21 2069浏览

本篇文章扣丁学堂iOS培训小编给小伙伴们分享一下Apple设备上最常用的获取技术，将讨论更多技术细节以及如何将这些技术与iPhone联系起来。对此感兴趣的小伙伴就随小编来了解一下吧。

扣丁学堂iOS开发培训课程 Apple设备上最常用的取证获取类型：

1、备份

iPhone取证的一个常用方法是分析备份目录。同步iPhone和备份iPhone是有差异的。基本上，同步是将iPhone上的文件与计算机上的文件保持一致，并备份一些关键的信息。而备份是保存SMS、通话记录、联系人和其他应用数据的副本。备份信息对于取证分析者来说是非常重要的，尤其是当取证分析者不能直接访问iPhone设备的时候。

此类获取过程从iPhone的备份文件中读取文件，而这些备份文件是通过iTunes创建的(使用Apple的同步协议)。通过这种方法仅能获取通过协议精确同步的文件数据。但不管是什么原因，当你不能访问设备或者不能进行数据映像时，备份分析将是一个有效的方法。

通过这种方式，许多关键信息都能够恢复。常用数据存储在SQLite数据库和属性列表文件中，协议支持对SQLite数据库和属性列表文件的同步。大多数已分配数据，或者换句话说，仍然保留在设备上的数据，都可以通过备份分析来恢复。此外，其他一些数据(例如已被删除的SMS、通话记录和联系人)通常也能够通过直接查询SQLite数据库来恢复。

2、逻辑获取

这种方法直接从iPhone中获取数据，并优先从与iPhone同步过的计算机中恢复文件。现有的许多商用工具可以直接完成逻辑获取。然而，取证分析者也必须清楚以下几点：获取是如何发生的，iPhone是否被修改过，这个过程不能获取什么。

使用逻辑方法能够恢复iPhone文件系统中的活动文件和目录。但是，不能恢复在未分配空间(或不活跃空间)的数据。通过逻辑获取可得到下列条目所包含的一些常用数据：SMS、通话记录、日历事件、联系人、照片、Web访问记录、同步的电子邮件账户等。只有未删除的数据才能从这些文件中完全恢复。而某些应用程序，有时也能通过查询SQLite数据库文件来提取那些已删除的数据。

3、物理获取

第三种方法是通过物理获取来映像iPhone。这个过程创建一个文件系统的逐位复制，类似于大多数计算机取证分析中所采用的方法。虽然这种方法有可能最大限度恢复数据(包括已删除文件)，但是这个过程更加复杂，并且要求更加精细的分析工具和技术。通过此方法，设备中的任何类型的数据都能够被恢复。

对所得到的磁盘映像文件进行高级数据12 iOS取证实战：调查、分析与移动安全分析，也有可能恢复GPS坐标、蜂窝发射塔位置，甚至是已删除的短信和彩信。很多时候，将各种文件中提取的元数据拼接在一起也可能得到一些其他的分析结论。例如，通过比较照片恢复出来的时间戳和SMS记录中的时间戳，可以知道这张照片曾经被发送给了谁。虽然使用备份和逻辑获取也可以恢复此类型的信息，但使用物理映像技术有可能恢复更多数据。

4、非传统方法

也有一些不太常见的、有争议的方法通过修改设备固件使设备许可更多功能，使得研究者可从Apple设备中提取那些用其他方法可能无法得到的数据。越狱是这些技术中的一种。为了越狱一台设备，固件分区将被替换为一个黑客( hacked)版本。这个黑客固件分区包含了一个安装包，此安装包允许用户下载那些正常情况下无法通过App Store获得的工具和程序。Apple公司的立场是，这种技术将造成盗版的猖獗和公司技术支持费用的增加( Moren，2010)。因此，苹果公司不对任何越狱过的设备提供保修服务，实际上直到2010年初，越狱都是一种非法的行为。

数字千年版权法案( Digital Millennium Copyright Act，DMCA)通过一个包含反规避技术的来支持像Apple这样的公司。这个法案于1998年颁布，法案包含了“规避技术保护措施”条款。这一条款的一个部分声明禁止规避受版权保护的技术。因为越狱技术绕过标准固件分区并修改固件以许可设备获得更多功能)，所以在出现之后的一些年里，它都被DMCA列入不被豁免的名单(美国版权局，1998)。每隔三年，DMCA被进行评估和审查以确定此法案是否仍然对某些特定的技术适用。

随着iOS系统的不断更新和突破，未来的软件市场iOS主导地位愈加不可撼动。扣丁学堂官网顶级讲师录制了iOS在线课程视频讲座免费提供给那些钟爱于IT行业的人才，由浅入深的带你入门ios开发技术。想要了解更多内容的小伙伴可以登录扣丁学堂官网咨询。想要学好iOS开发小编给大家推荐口碑良好的扣丁学堂，扣丁学堂有专业老师制定的iOS学习路线图辅助学员学习，此外还有与时俱进的iOS课程体系和iOS视频教程供大家学习，想要学好iOS开发技术的小伙伴快快行动吧。扣丁学堂技术交流群：279521237。

                          

      【关注微信公众号获取更多学习资料】         【扫码进入Python全栈开发免费公开课】

查看更多关于“iOS开发培训”的相关资讯>>