本文利用數位鑑識工具針對越獄前與越獄後之iOS裝置進行資料萃取操作,並分析及展現iOS裝置於越獄前後所萃取資料之成果,證實兩者的成果差異,並提供給偵查人員作為跡證輔助情報。
越獄(Jailbreak)對於iOS裝置的影響,不僅在於使用者能夠脫離原廠制定框架,隨心所欲地更改運用iOS系列裝置內容,同時亦為資料萃取的成果帶來關鍵性的成效。
在未越獄狀態下的iOS裝置,即使透過功能強大的數位鑑識工具,也未必能夠順利取得利於情報發展的結果,其中不少早已在裝置上刪除的資訊,有如石沉大海一去不復返。
然而,透過越獄,能夠相當程度地取回iOS裝置上所刪除的資訊,使得案情能夠繼續推進,不至於陷入膠著。
本文將透過XRY數位鑑識軟體工具,針對搭載iOS 9.0.2版本的iPad Air 2進行越獄前後之邏輯映像檔萃取操作。在進行裝置備份程序後,以XRY數位鑑識軟體對未越獄的iPad Air 2進行邏輯映像檔萃取操作。
然後,對該部iPad Air 2進行越獄完畢後,再次以XRY數位鑑識軟體工具對其進行邏輯映像檔萃取操作,並比較分析iOS裝置於越獄前後所萃取資料之成果差異,以及所萃取的資訊是否能夠幫助情報蒐集與案情的推進。
鑑識工具介紹
在動手進行越獄程序之前,先介紹過程中會使用到的XRY數位鑑識軟體,並說明何謂SHSH認證。
XRY數位鑑識軟體
XRY鑑識軟體是由Micro Systemation公司所研發的手機鑑識產品,支援透過Windows作業系統之電腦為安裝操作系統,並藉此對數千種行動裝置進行數位鑑識取證,以及內存資料萃取,而對各種不同型號的設備支援程度也有所不同,其功能分別有邏輯萃取、實體萃取等。
SHSH認證
在此處所指的SHSH,是蘋果公司所發放的iOS系統版本認證。iOS版本的安裝,無論更新抑或降回,都需要SHSH認證方可執行,而SHSH具有單一專屬性,每部裝置於每個iOS版本安裝中均有自己唯一的認證。
然而,蘋果公司直至目前的做法均為在發放更新版本之SHSH簽署認證後,不久便會關閉舊版的SHSH簽署認證,令大部分已更新至iOS新版的裝置,無法再降回安裝舊版的iOS。
XRY越獄前後裝置資料萃取與分析
在資料萃取實驗進行之前,為保全iPad內之使用者資料,需先透過iTunes或iTools進行備份建立,以免因任何不可預期之事件,如越獄失敗、白蘋果等,而造成設備內存資料無法復原。
然而,備份動作除了使用者資料的備份外,許多越獄使用者為防止蘋果官方更新iOS版本之後,將舊的iOS版本認證關閉,會在蘋果關閉可越獄iOS版本之SHSH認證簽署前,將自身的SHSH認證先行備份,即可保障iOS裝置進入無法啟動或是不停重複開機而無法進入主畫面時,亦可不必強行回復更新為較新的iOS不可越獄版本,而完成更新後即可開始XRY的資料萃取操作。
實驗前提與環境說明
本實驗透過搭載iOS 9.0.2版本的iPad Air 2為資料萃取之標的裝置,並以XRY作為對標的裝置進行資料萃取的數位鑑識工具,實驗流程如下:
1.透過XRY對該部未越獄的iPad進行邏輯資料萃取,將萃取出的邏輯映像檔儲存為xry檔案格式。
2.對同一部iPad進行越獄程序,透過XRY對已越獄的iPad進行邏輯資料萃取,並將萃取出的邏輯映像檔同樣儲存成xry檔案格式。
3.資料萃取工作完成後,分析與比較兩次萃取出的邏輯映像檔之差異,針對萃取的資料量、資料品質、檔案類型與可用性跡證進行比較。
4.分析兩次萃取跡證,如何輔助於釐清真相,抑或推動案情發展。
未越獄狀態iPad Air 2之XRY跡證萃取
首先,將iPad螢幕鎖開啟,再把螢幕休眠功能關閉,使在鑑識過程中能夠保持iPad螢幕一直是非鎖定的狀態,並將iPad的連網功能關閉,如關閉Wi-Fi及4G網路,亦可直接進入飛航模式,以防止在鑑識過程中受到任何的干擾。
之後,以USB線將iPad與電腦連結,開啟XRY鑑識軟體工具,開始進行對iPad的資料萃取,如圖1所示。
|
▲圖1 開啟XRY鑑識工具。 |