景德镇新闻

电银付大盟主(dianyinzhifu.com):从兼容性角度,对比一下iOS,watchOS和tvOS的信息取证方式

来源:景德镇信息港 发布时间:2020-12-22 浏览次数:

你若何才能从iPhone,iPad,Apple TV或Apple Watch获得大量有价值的数据呢?这并不像看起来那么简朴。现在存在多种相似的提取方式,其中某些方式仅限于特定版本的操作系统。本文,我们就从兼容性角度,对比一下iOS,watchOS和tvOS的取证方式。

兼容性对照

兼容性通常取决于iOS/iPadOS(同步)的版本和SoC模子。注重:FFS(full file system)代表“完整文件系统”。

按装备类型对照

iPhone和iPad(iOS/iPadOS)

多种取证方式均可以在装有iOS和iPadOS的系统上使用,你只需要一根Lightning或iPad Pro的USB Type-C线。然则,对于用checkra1n举行采集,我们建议使用USB-A到Lightning,但不建议使用USB-C到Lightning,由于它可能会出现问题,尤其是在使装备进入DFU模式时。

苹果电视(tvOS)

对于Apple TV 4,由于配备了USB Type-C端口,因此不需要任何分外的操作。对于4K型号,需要一条特殊的电缆毗邻到隐藏的Lightning端口。有关详细信息,请见《若何对Apple TV 4K越狱》。

若是你希望使用checkra1n而不是unc0ver越狱(例如,当tvOS版本与unc0ver不兼容时),请注重,仅使用适配器是不够的。你还需要一根特殊的数据线才能使装备进入DFU模式。

这样,无需越狱,你就可以提取媒体文件和元数据以及一些诊断日志。

苹果手表(watchOS)

这是你始终需要适配器的系统,有关详细信息,请参阅《Apple TV和Apple Watch Forensics 01取证》。 记得,要害是IBUS。现在,适配器仅适用于S1 / S2 / S3手表,而不适用于S4和S5。与此同时,手表网络的一些数据(大部分是康健数据)会同步到iCloud(通过它所毗邻的iPhone)。完整的Watch备份不可用,然则iPhone备份中还提供了一些Watch数据。

获取方式对照

,

欧博开户_ALLbet6.com

欢迎进入欧博开户(Allbet Game):www.aLLbetgame.us,欧博官网是欧博集团的官方网站。欧博官网开放Allbet注册、Allbe代理、Allbet电脑客户端、Allbet手机版下载等业务。

,

逻辑采集是最快,最简朴,最平安和最兼容的采集方式,纵然它仅提供有限数目的数据,它仍然是实验的第一种方式。然则仍然有一些事情要注重:

1.内陆备份和iCloud备份的内容有所不同;

2.使用密码和不使用密码的内陆备份之间也存在差异(请参阅有关iPhone备份的最不寻常的事情);受密码保护的备份包罗更多数据。

3.云备份通常很难获得,这不仅仅是双因素身份验证的问题。

接下来,请记着备份只是逻辑获取的一部分。纵然备份受密码保护而且密码未知,你也可以提取媒体文件以及元数据。此外,你可以提取一些共享文件(通常是文档,有时还包罗从图像到数据库的其他用户数据)和诊断日志,这可能有助于确立装备使用时间表。此方式是唯一可在非越狱Apple TV以及Apple Watch S1至S3装备上使用的方式。

完整的文件系统映像固然比备份好得多,甚至还可以使用媒体提取举行弥补。使用文件系统映像,你可以从装备上获取所有信息,包罗沙盒应用程序数据和具有多个纪录的位置点,使用信息以及许多其他内容的系统数据库。

在取证当中,获取钥匙串是要害,钥匙串存储了用户的所有密码、加密密钥、证书、信用卡数据等。通过获取息争密钥匙串,你将能够解密来自那些号称最平安的谈天程序的谈天纪录,接见装备所有者使用的其他云服务,以及执行更多操作。若是你不提取钥匙串,你就失去了可靠的证据。

要获得文件系统和密钥链,我们建议使用署理获取方式(若是兼容的话),由于这是最平安、最可靠的方式。然则,iOS版本和具有越狱功效的装备模子的支持局限略广。

最后,是对iCloud的取证。这种方式有许多优点,我们在以前已经先容过多次。好比,无需手持装备,你就可以接见已从装备中删除的当前和以前的数据集。你可以从与统一账户相连的其他装备上获取一些其他数据,愿意的话,你还可以执行更多操作。

操作系统版本

对于逻辑获取,包罗媒体文件和日志的提取,系统版本基本不主要。我们可以为所有的操作系统版本做到这一点,从古老的iOS 4到尚未公布的iOS 13.6测试版(撰写本文时的最新版本);效果大致相同。iOS 14的第一个测试版将于下周公布,险些可以一定,我们将能够从一最先就对其举行逻辑采集。

对于基于越狱的信息取证以及与我们的署理人举行的信息取证,我们不能接纳相同的设施,这些方式取决于破绽行使的可用性。它们确实存在于包罗iOS 13.5(包罗iOS 13.5)在内的大多数iOS版本中,但某些特定版本并未完全涵盖。例如,对于iPhone 5s和iPhone 6装备以及运行iOS 13.3.1至13.4.1的任何装备,我们只能提取文件系统,而不能提取iOS 12.3至12.4.7的钥匙串。最后,虽然iOS 13.5可以使用越狱功效,以获取文件系统和钥匙串,但你必须自己越狱,但你必须自己去越狱,署理不会协助的。对于iOS 13.5.1至13.6 beta 2,可以使用checkra1n(仅适用于兼容型号)。

对于tvOS,信息取证就困难重重了。存在类似的破绽行使,然则越狱仅适用于tvOS 9- tvOS 12,局限异常有限的版本。只有tvOS 13可以对checkra1n越狱完全开放,理论上包罗最新的13.4.8 beta,不外我们尚未对其举行测试。未来我们可能会为较旧的tvOS版本开发基于署理的获取,但现在尚无平安加密流量剖析 (ETA) 。同时,Apple默认情况下会自动更新tvOS,因此用户的Apple TV将正常运行最新版本的tvOS。

至于watchOS,无论watchOS版本若何,都无需思量文件系统的获取。watchOS很容易受到checkm8攻击,然则,没有适用于watchOS 5.2和更高版本的公然越狱(当前版本为watchOS 6.2.8 beta 2)。另一方面,Apple Watch网络的大多数信息都可以从与其配对的iPhone或从icloud中获得。然则,若是你具有IBUS适配器,则可以提取媒体文件和元数据(对于S1-S3系列手表)。

总结

正如我们之前所写的,在剖析苹果装备时,并没有“一键解决方案”,只管我们试图使事情流程尽可能简朴。主要的是要领会硬件和软件的种种特征,并在选择提取方式时做出明智的信息取证方案。

本文翻译自:https://blog.elcomsoft.com/2020/06/ios-watchos-and-tvos-acquisition-methods-compared-compatibility-notes/如若转载,请注明原文地址:
发表评论
请自觉遵守互联网相关的政策法规,严禁发布色情、暴力、反动的言论。
评价:
表情:
用户名: 验证码:点击我更换图片