在iPhone帶給我們生活諸多便利的同時,行動裝置中亦存有許多相關個人資料。所以針對iOS裝置進行數位鑑識,並從中取得可以佐證或追蹤犯罪的相關資訊,已成為不得不注重的課題。
智慧型手機的功能越來越多,無論上網、拍照及收發電子郵件,幾乎都可以在智慧型手機上進行,相對地,意圖犯罪的人員也可能在智慧型手機上留有其個人資訊,因此在對一個犯罪嫌疑人的智慧型手機進行鑑識檢查,有機會發現可支持刑事案件起訴的相關證據。
當iOS裝置逐漸成為生活的必需品,雖然眾多的功能提供多元的便利性,卻成為犯罪者的隨身物品甚至犯罪工具。故在享受科技的當下,個人資料亦暴露在危險中,尤其手機中的GPS資料,更是間接透露出個人的行為蹤跡。以下將介紹iOS裝置的基本知識,並說明如何取得iOS的定位資訊的方式。
了解相關背景知識
以下介紹iOS作業系統及其檔案系統,認識Google地圖,並說明何謂手機數位鑑識,以及準備鑑識時所需的軟體工具。
iOS作業系統
iOS為蘋果公司以Darwin為基礎所開發的為行動裝置操作系統,支援的裝置包括iPhone、iPad、iPod touch與Apple TV,並不支援非蘋果的硬體裝置。其系統架構分為核心作業系統層(Core OS Layer)、核心服務層(Core Service Layer)、媒體層(Media Layer)以及觸控應用層(Cocoa Touch Layer)。
iOS檔案系統
iOS系統的檔案架構為HFS+(Hierarchical File System Plus),而系統分成系統磁區(System or Root Partition)與使用者磁區(User or Media Partition)。檔案格式主要分為兩種,包括使用者對裝置配置設定的Property List(.plist)檔案以及儲存使用者個人資料庫的SOLite(.sql)檔案。
Google地圖
Google地圖是Google公司向全球提供的電子地圖服務,其中地圖中包含街道、重要設施、旅遊景點等,因此使用者可利用地圖中的資訊,進行導航、路徑規劃、街景服務等功能。並可建立屬於自己的地圖,將景點進行標記,亦可匯入自身之GPS資料,在畫面中顯示自己的地圖。
手機數位鑑識
欲對iOS裝置進行數位鑑識與分析,分析方法主要可區分為邏輯萃取(Logical Acquisition)和實體萃取(Physical Acquisition)。
邏輯萃取
透過基本的裝置連接取得,利用系統API來對檔案系統存放的邏輯性資料進行存取與解讀,有其相容性高與低權限的優點,但具有高揮發性且不易對已刪除檔案進行修復與分析。
實體萃取
以記憶體位元複製來取得完整內容,雖然程序複雜且所需權限高,但其具備低揮發性的特色,並且可進一步分析並修復已刪除的檔案。
所需軟體介紹
此類軟體工具皆支援PC與Macintosh,而本文的使用環境以Macintosh為主。
iTunes
iTunes是一款媒體播放器的應用程式,用來播放以及管理數位影音檔案,並可連接iTunes Store來購買相關影音產品。而後,更成為管理蘋果iOS裝置的檔案系統程式,可以在蘋果官方網站中免費下載。
另當iTunes與iPhone介接時,可於畫面上直接得知iPhone的設備摘要資訊,例如設備名稱、容量、版本以及序號等等,並會自動檢測作業系統的版本。若有更新版本或想恢復初始設定,可直接點選更新或回復,如圖1所示,本文即是透過iTunes取得iPhone的備份來進行分析。
|
▲圖1 iPhone手機介接iTunes主畫面資訊。 |
iPhone Backup Extractor Software
不能直接透過軟體來檢視備份,但可於HFS+架構下選擇資料夾來進行萃取備份的內容,如圖2所示,其特別之處在於具備將裝置內的定位儲存資料輸出成KML檔案的功能。此軟體的免費版僅能萃取少部分的資料,所以本文僅著重在其定位資料輸出的功能。
|
▲圖2 iPhone Backup Extractor Software操作畫面。 |