本书是所有数字取证审查者必读书籍之一,即使对iPhone环境有研究的人也可从这本颇具价值的书中获益。作者将多年实践经验集结成书,权威性毋庸置疑,不容错过!
——Ryan R. Kubasiak,资深计算机犯罪调查专家、appleexaminer.com网站资深编辑
随着iPhone的销量和使用人数日益增加,各组织对iOS设备的检查、获取和安全需求也逐渐增加。本书深入探究iPhone的核心硬件和软件组件、文件系统和数据结构、数据和应用安全以及多种取证获取技术。本书着重关注开源软件的使用,并结合大量实际示例进行逐步取证演示。
本书亮点如下:
介绍iPhone、iPad和其他iOS设备的取证获取技术。
利用整章篇幅讲解数据和应用安全,满足取证调查者的迫切需求,对应用开发者和IT安全经理也有启迪。
深入分析文件系统中常用应用(默认的和下载的)的特殊数据,快速直击证据。
为iPhone和iOS设备的取证获取及数据分析提供全面指导,并教授如何维护iOS设备、数据和应用安全的实践经验!
Andrew Hoog 计算机科学家、Android取证领域的顶级专家、认证的取证分析师(GCFA和CCE)、计算机和移动取证研究员,是viaForensics(一家创新型的计算机和移动取证公司)的所有者。电台因他写作计算机/移动取证指南方面的内容而做专门采访,他还经常应邀在各知名安全大会上进行演讲。他致力于培养计算机和移动取证学科人才,引导并开展专家级的培训课程,并受邀为企业和执法机构授课和培训。
Katie Strzempka viaForensics公司技术顾问,致力于取证研究、安全的审计和调查,是《iPhone取证》白皮书的合著者,也是各类iPhone取证商业工具的研究者。她曾在财富500强公司从事了3年的信息安全工作,负责防火墙管理并协助内网和外网连接工作。她在普度大学接受过数字取证、计算机和信息技术方面的教育多年,而今她为世界各地培养了大量移动取证研究人员。
本书适用于对iPhone和其他iOS设备感兴趣的读者,尤其适合那些对设备中能恢复的存储数据类型感兴趣的读者阅读。移动取证的需求随着智能手机的发布在惊人地增长。随着手机的应用不再局限于通话功能,使得通过手机进行的交流互动逐渐被数据化了。当用户用iOS设备发送短信、查收个人或工作邮件、上网、管理财务,甚至照相和摄影时,他们并没有意识到,这些数据正在被存储到他们的设备上。当删除一条信息时,他们会认为这些数据永远消失了。但事实上并非如此,本书不仅解释为什么这些被删除的数据能够恢复,还向取证审查者提供了用于从iOS设备中提取信息的一些具体方法。
本书的结构使得读者可以单独专注于每一章。如果你是一名企业安全主管,仅对存储在iPhone或iPad上的数据是否安全感兴趣,你可以直接阅读第4章。如果你是有经验的移动取证审查者,了解存储在iPhone文件系统中的所有文件,但是还想学习更多的高级分析技术,那么可以跳过前面几章,直接阅读第6章。
下面对各章内容进行简要介绍。
第1章是对iPhone的概述,包括iPhone发展过程中的关键事件时间表。详细介绍不同的经典iPhone型号,包括设备中的多种硬件组件。通过阐述数据采集的各种方法来介绍iPhone设备的取证获取。这一章的结尾部分对Linux系统进行了介绍,展示了在移动设备审查中,这些命令行工具是多么强大。
第2章介绍了多种主流iOS设备以及这些设备独有的特性。这一章涵盖了软件升级、设备安全和各种操作模式的介绍、系统升级/降级的执行,以及将设备启动至不同操作模式的方法。还将讨论iTunes和iOS设备之间的交互,包括iTunes中支持iOS设备的功能。
第3章讨论了存储在iPhone上的数据类型,以及这些数据存储的格式和常规位置。这一章还详细描述了可从iOS设备中恢复的普通文件类型,帮助检查者了解数据是如何存储的,以便他们能够更有效地从这些文件中恢复数据。除了iPhone的操作系统、文件系统以及磁盘分区外,该章也概述了iPhone的存储器类型。
第4章在用户数据保护方面为企业的移动设备管理员提供了一些选择。读者可以通过Apple设备测试的过程,来确定可从这些设备中恢复的敏感数据类型。该章还涵盖了安全移动应用程序的沿革,这些发展激发了从用户及开发者角度进行的测试。最后,这一章就设备和应用程序安全给出了一些常规的建议,帮助用户和管理员对公司中的设备进行安全保护。
第5章涵盖了在iPhone、iPad和其他iOS设备上进行取证的各种获取方法,讨论了映像取证的重要性,随后对设备映像的不同方法进行了说明,并详细讲解了从iPhone的备份文件中恢复数据的两种方法。接下来介绍逻辑获取,最后是设备的物理获取。同时,也概述了其他可能进行映像的iOS设备,这些设备包括iPod Touch 和Apple TV。
第6章全面介绍如何对iPhone上的数据进行分析。这一章先介绍了几种不同的分析技术,论及一些基础的方法,例如挂载磁盘映像,以及用十六进制编辑器分析映像等高级技术。每个技术都提供了实用的脚本,审查者可自行将命令复制后执行,这样有助于了解所有的步骤。随后论述了分析技术、文件系统的布局。在3.7节中,读者能够了解到每个数据类型的存储位置。在这一章的结尾,是一些移动应用程序的参考资料。在这里,审查者能够浏览详细的应用程序列表,并且能够从中得知每个应用程序的数据存储在哪里。
第7章介绍了各种移动取证工具的使用方法,以及它们之间的差异对比。概述涉及iPhone测试设备的数据构造过程,详细介绍了有关测试的方法论,然后对每个用于分析的软件产品进行概述。这一章的大部分内容都专注于介绍使用所列工具去测试设备的审查方法。通读学习,读者可以一步步地学习工具的安装、获取和分析,在每个工具的最后都有一个列表,列表中记录了相应工具的研究报告。
要获取代码、程序和升级包等本书配套材料,请访问:http://viaforensics.com/resources/ iphone-ios-forensics-mobile-security-book。
致谢
当决定合写这本书时,我已经充分意识到它会对我的生活产生一定的影响,但却忽视了那些直接或间接被卷入其中的人。幸运的是,我能在此对他们聊表谢意。
首先要感谢的是我的家人和朋友,他们谅解我缺席了许多夜晚和周末的聚会。特别要感谢我的父亲,尽管他说“Linux这东西我完全搞不懂”,但还是帮我审校了第2章。同时,要感谢我的母亲,她总是鼓励我说其实我比自认为的要聪明得多。感谢我的弟弟Danny在我忙碌时照顾我的狗。感谢Jill,她一直鼓励我、陪伴我,特别是当她为我带来了曲奇饼和纸杯蛋糕时。此外,要感谢我的朋友们,他们偶尔说服我忙里偷闲地吃点寿司,玩玩飞镖。
感谢Marcus Rogers 博士和普度大学的数字取证项目,谢谢他在我准备涉足这个领域时给予我帮助以及一直以来为我提供专业决策方面的建议。
我要特别感谢viaForensics公司的同伴们,感谢大家容忍着Andrew和我的长篇大论。非常感谢Ted能够编录我的iPhone模拟器照片;感谢Catherine容忍我的坏脾气;感谢Chris,即便我嘲笑他说“不可能恢复这些视频文件”,他也从不放弃逼迫我找出分析iPhone的新方法。
没有我的合著者 Andrew Hoog的帮助,这本书就不可能完成,他让我知道所有的指令都可以并且应该通过命令行来完成(尽管通过GUI能够快上10倍)。
计算机\安全
为iPhone和iOS设备的取证获取和数据分析提供全面指导,并教授如何维护iOS设备、数据和应用安全的实践经验!
本书是所有数字取证审查者必读书籍之一,即使对iPhone环境颇有研究的人也可从这本颇具价值的书中获益。作者将多年实践经验集结成书,权威性毋庸置疑,不容错过!
——Ryan R.Kubasiak,资深计算机犯罪调查专家、appleexaminer.com网站资深编辑
随iPhone的销量和使用日益增加,各组织对iOS设备的检查、获取和安全需求也日以增加。本书深入探究iPhone的核心硬件和软件组件、文件系统和数据结构、数据安全思考、多种取证获取技术。本书着重关注了开源软件的使用,并结合大量实际示例进行逐步取证演示。
介绍iPhone、iPad和其他iOS设备的取证获取技术。
利用整章篇幅讲解数据和应用安全,满足取证调查者的迫切需求,助益应用开发者和IT安全经理。
深入分析在文件系统可发现的常用应用(默认的和下载的)的特殊数据,快速直击证据。
(美)Andrew Hoog Katie Strzempka 著:暂无简介
彭莉娟 刘琛梅 赵剑 译:暂无简介
近几年,信息技术处于高速发展时期,智能手机和平板电脑普及率逐渐增高,尤其是2011年以来,iPhone和iPad在中国的销售额更是其领域中的佼佼者。我们看到,使用智能终端的人越来越多,各个企业、学校、机关都在开始如火如荼地进行无线网络的建设,移动设备正渗透到我们生活和工作的方方面面。很多学校开始购买iPad进行辅助授课,许多企业甚至考虑允许员工通过自带智能设备使用企业的内部应用(携带iPad平板电脑辅助办公),以提高沟通和工作效率,同时降低企业在移动终端上的成本和投入。
然而我们需要关注的是,这种方案在带来效率的同时也带来了安全的隐患,比如员工获取了企业的信息后却丢失了移动设备,如果不对移动设备上的数据进行处理,则会导致企业或个人信息泄露;或者员工自带设备从企业获取机密信息后,将信息用于侵权交易,企业如果没有获取证据的方法,没有追溯的手段,就只能白白蒙受损失。另一方面,社会上越来越多的不法分子在利用手机进行犯罪,比如在犯罪行为的实施过程中使用手机来充当联络工具,用手机存储犯罪证据,或者用手机进行短信诈骗、短信骚扰,或者将其作为病毒软件传播的实施工具。移动设备取证将是应对这些安全、违法事件的一个手段。
本书是iOS设备取证领域比较经典的著作,专注于研究苹果公司的iOS设备的取证技术和工具,深入浅出地向我们介绍了iOS设备的发展历史,设备上存储的数据类型和文件系统结构,以及各种可用的取证技术和取证工具。非常系统而全面地向我们展示了iOS设备取证分析的原理和实践。如果你是名企业网络安全管理员,你可以在本书中了解到如何对企业中的设备实施安全保护;如果你是一名合法的取证审查工作者,你可以系统掌握如何利用各种工具在iOS设备上获取证据,用于法律诉讼。虽然各种技术的发展非常快,本书的一些实践并不是采用近年最新版本的iOS设备或最新版本的工具,但是不妨碍我们去理解这些取证的原理、技术和方法。在第7章,作者还对各种移动取证工具做了详细的试用和介绍,这对取证审查工作而言是非常有用的,学习本章后就可以从作者推荐的取证工具中选出适合自己的,而不需要再花时间自己下载安装逐一比较。
译者也是从事信息安全工作的,通过阅读本书给我们的工作带来了很多帮助。我们很荣幸能够将本书的中文版带给大家!希望本书也能为你的工作带来新的思路。如果你才接触移动设备取证,可以通读这本书来了解iOS设备取证技术;如果你是一名企业安全管理员,企业中要管理许多iPhone和iPad设备,你可以重点关注第4章,这里会对设备和应用程序安全给出一些常规建议,帮助你做好安全防御工作;如果你已经有了移动设备取证的相关经验,建议重点关注第6、7章,这里的高级分析技术或许能够为你的工作带来新的突破。
参与本书翻译和校对工作的有彭莉娟、刘琛梅、赵剑,同时杨人权等也对本书的部分文字进行了优化。此外,也非常感谢机械工业出版社华章分社为本书的出版所做的努力。
由于时间以及译者水平所限,尽管我们尽了最大努力,但书中难免有不尽人意之处,敬请读者不吝指正!你可以发邮件到:echopenglijuan@126.com,我们将尽快答复提出的疑问。在此对你的谅解和支持表示真诚的感谢。
彭莉娟
译者序
前言
第1章 概述 1
1.1 介绍 1
1.1.1 策略 1
1.1.2 开发者社区 2
1.2 iPhone型号 4
1.3 取证审查方法 8
1.3.1 iPhone取证技术分级 9
1.3.2 取证获取类型 11
1.3.3 使用Linux取证 13
1.4 小结 27
1.5 参考文献 28
第2章 设备特性和功能29
2.1 介绍 29
2.2 Apple设备概述 29
2.3 操作模式 30
2.3.1 基本模式 31
2.3.2 恢复模式 31
2.3.3 DFU模式 31
2.3.4 退出恢复/DFU模式 34
2.4 安全 35
2.4.1 设备设置 35
2.4.2 安全擦除 36
2.4.3 应用程序安全 36
2.5 与iTunes的交互 37
2.5.1 设备同步 37
2.5.2 iPhone备份 37
2.5.3 iPhone还原 38
2.5.4 iPhone iOS更新 38
2.5.5 应用商店 43
2.5.6 MobileMe 43
2.6 小结 43
2.7 参考资料 43
第3章 文件系统和数据存储45
3.1 介绍 45
3.2 可恢复的数据 45
3.3 数据存储位置 46
3.4 数据存储方式 48
3.4.1 内部存储 49
3.4.2 SQLite 数据库文件 50
3.4.3 属性列表 51
3.4.4 网络 54
3.5 存储器类型 54
3.5.1 RAM 54
3.5.2 NAND闪存 55
3.6 iPhone操作系统 58
3.7 文件系统 59
3.7.1 卷 61
3.7.2 日志 62
3.7.3 iPhone磁盘分区 62
3.8 小结 63
3.9 参考文献 63
第4章 iPhone和iPad的数据安全65
4.1 介绍 65
4.2 数据安全和测试 65
4.2.1 美国计算机犯罪法 66
4.2.2 由管理员负责的数据保护 67
4.2.3 安全测试过程 70
4.3 应用程序安全 76
4.3.1 移动应用程序的企业或个人客户 77
4.3.2 公司或个人移动应用开发者 79
4.3.3 应用开发者的安全策略 79
4.4 对设备和应用的安全建议 84
4.5 小结 85
4.6 参考文献 85
第5章 取证获取87
5.1 介绍 87
5.2 iPhone取证概述 87
5.2.1 调查类型 87
5.2.2 逻辑技术和物理技术的区别 88
5.2.3 目标设备的修改 88
5.3 处理证据 90
5.3.1 密码处理 90
5.3.2 网络隔离 91
5.3.3 关闭的设备 91
5.4 映像iPhone/iPad 91
5.4.1 备份获取 91
5.4.2 逻辑获取 97
5.4.3 物理获取 97
5.5 映像其他Apple设备 108
5.5.1 iPad 108
5.5.2 iPod Touch 109
5.5.3 Apple TV 109
5.6 小结 109
5.7 参考文献 109
第6章 数据和应用程序分析111
6.1 介绍 111
6.2 分析技术 111
6.2.1 挂载磁盘映像 111
6.2.2 文件雕复 112
6.2.3 strings 117
6.2.4 时间表创建及分析 119
6.2.5 取证分析 125
6.3 iPhone数据存储位置 130
6.3.1 默认应用程序 131
6.3.2 下载的应用程序 137
6.3.3 其他相关数据 140
6.4 iPhone应用程序分析和参考 147
6.4.1 默认应用程序 147
6.4.2 下载的第三方应用程序 167
6.5 小结 175
6.6 参考文献 175
第7章 商用工具测试176
7.1 介绍 176
7.2 数据构造 176
7.3 分析方法 179
7.4 CelleBrite UFED 181
7.4.1 安装 182
7.4.2 取证获取 182
7.4.3 结果和报告 183
7.5 iXAM 188
7.5.1 安装 189
7.5.2 取证获取 189
7.5.3 结果和报告 191
7.6 Oxygen Forgensic Suite 2010 193
7.6.1 安装 195
7.6.2 取证获取 195
7.6.3 结果和报告 196
7.7 XRY 199
7.7.1 安装 200
7.7.2 取证获取 200
7.7.3 结果和报告 200
7.8 Lantern 204
7.8.1 安装 205
7.8.2 取证获取 205
7.8.3 结果和报告 206
7.9 MacLock Pick 208
7.9.1 安装 209
7.9.2 取证获取 210
7.9.3 结果和报告 210
7.10 Mobilyze 211
7.10.1 安装 212
7.10.2 取证获取 212
7.10.3 结果和报告 213
7.11 Zdziarski技术 215
7.11.1 安装 217
7.11.2 取证获取 218
7.11.3 结果和报告 218
7.12 Paraben Device Seizure 220
7.12.1 安装 222
7.12.2 取证获取 222
7.12.3 结果和报告 223
7.13 MobileSyncBrowser 226
7.13.1 安装 226
7.13.2 取证获取 226
7.13.3 结果和报告 226
7.14 CellDEK 228
7.14.1 安装 229
7.14.2 取证获取 229
7.14.3 结果和报告 229
7.15 EnCase Neutrino 232
7.15.1 安装 232
7.15.2 取证获取 232
7.15.3 结果和报告 233
7.16 iPhone Analyzer 235
7.16.1 安装 236
7.16.2 取证获得 237
7.16.3 结果和报告 237
7.17 小结 239
7.18 参考文献 240
附录A iTunes备份位置241
附录B 分析常规文件和数据类型的工具242
附录C iPhone文件系统 243
