信息犯罪与电子取证：iOS系统取证

在用户使用iTunes对iPhone进行备份时，iTunes软件通过自带的同步协议从iPhone手机中的特定数据区域提取数据，并将其打包为备份文件保存在计算机上，而由于采用了官方的数据同步协议，也就意味着备份文件中只可能包含既有的、未被删除的逻辑数据和程序数据，不会包含文件镜像或已删除的数据信息。

2. 逻辑取证

iPhone的逻辑取证是指通过使用iTunes同步协议或第三方工具提取iPhone中指定信息、文件或文件夹的方法，一般通过逻辑取证，可以从iPhone手机中提取SMS短信、通话记录、日程安排、联系人、照片、网页浏览历史、电子邮件和绝大多数手机应用程序的数据，这种方法与上述备份文件取证一样，仅可以获取所有未被删除的数据，iPhone手机上已经被删除的数据使用逻辑取证的方式暂无法实现完全恢复。

逻辑取证的主要原理是通过提取手机存储的SQLite数据库文件和Property List（Plist）文件并对其结构进行解析，从而提取相关信息，由于在iOS中保存的大多数应用程序数据的存储方式都采用SQLite数据库（包括iOS中保存的SMS短信、MMS彩信、联系人和所有通话记录等），所以具备一定技术基础的手机取证调查人员可以通过相应的工具，将相应的文件从iPhone手机中提取出来，使用相应的查看软件进行分析。在大多数情况下，这种方法可以从此类数据库中导出一定数量的数据，并可能包含一定数量有价值的潜在证据信息。

目前，绝大多数手机取证软件都是通过此种方式提取iPhone手机中逻辑数据的。

值得注意的是，在一些特定的情况下，手机取证调查人员可以借助专用的技术或工具，从SQLite数据库文件中进行一定程度的数据恢复，从而可能提取到已经被删除的信息，这种取证一般依赖于所采用的SQLite数据库恢复方法。尽管目前已经有方法可以通过分析SQLite数据库结构实现一定程度的数据恢复，逻辑恢复可为相应的后期恢复提供文件，但这并不代表逻辑取证可以从iPhone手机中实现数据恢复。

3. 物理取证

提到物理取证，大多数有经验的计算机取证调查人员会意识到，这种方法主要通过对设备进行镜像获取的方式进行取证，类似于在计算机取证中，对嫌疑人计算机硬盘的位对位复制或制作镜像文件。

和计算机取证一样，得到存储镜像（即手机内存的镜像）意味着调查人员可以获得最大数量的证据来源，除了可以提取前两种方式（备份文件取证和逻辑取证）所能获取到的所有数据外，还使从手机中恢复所有被删除的数据成为可能。

但提取iPhone手机的镜像远不如制作一块计算机硬盘副本那么容易，手机取证调查人员需要掌握一定的技术，并且利用专用的工具才能够实现；计算机取证中所使用的一些工具在iPhone手机取证时也可继续沿用。例如，可以在Linux环境下使用dd命令将已越狱的iPhone手机内存提取为镜像文件。

目前，Cellebrite UFED Physical Analyzer、MSAB XRY、Elcomsoft Ios Forensic Toolkit等均支持针对iOS的物理取证，从原理上讲，主要是吸收了越狱工具所使用的iOS软硬件漏洞，在DFU模式下进行提权，从而获得iOS设备的内存镜像。

▲

- The end -返回搜狐，查看更多