由於iOS作業系統擁有完善的資訊安全機制,並對許多操作與存取做設限,如此一來越獄便成了眾所討論的話題。越獄就如同字面所述,讓iPhone脫離蘋果公司設限的監牢,但究竟該如何執行越獄?透過越獄能夠獲取到什麼關鍵資訊?本文即透過越獄的程序,瞭解關鍵證據存留紀錄,以找出事證關連性並還原真相。
完成上述前提後,透過電腦以右鍵點選盤古(Pangu_v1.2.1)程式,並選擇以系統管理員身分執行。程式執行於繁體中文介面上會出現亂碼情形,如圖3所示,但這並不會影響越獄程序的執行,由於此越獄程式的介面顯示為簡體中文,若使用者堅持改善顯示亂碼情形,可透過Windows系統選項「設定」→「地區」→「系統管理」→「變更系統地區設定」→「中文(簡體)」再將電腦重新開機,便可改善亂碼情況。
 |
| ▲圖3 程式介面產生亂碼情形。 |
開啟盤古程式後,點選越獄選項,便會出現程式提示,要求將iPhone系統時間變更為程式執行需求的指定日期2014/06/02,如圖4所示,設定妥善後便可開始越獄程序。
 |
| ▲圖4 設置iPhone系統時間為2014/06/02。 |
程式開始執行後,在iPhone上便會出現盤古的App,透過iPhone點選該App便會出現執行畫面,如圖5所示。
 |
| ▲圖5 盤古App圖示及執行畫面。 |
程式執行至一半,會因為手機SIM卡的密碼鎖而中斷,並在iPhone螢幕上顯示,如圖6所示,選擇〔解鎖〕並輸入SIM卡密碼後,即可續執行,或直接拔除SIM進行越獄,便不會有此問題。
 |
| ▲圖6 iPhone要求將SIM卡解鎖畫面。 |
程式執行完畢,即會顯示越獄成功,此時iPhone會自動重新啟動,而在重新啟動完成後,iPhone系統會暫時有延遲的情況,介面所存有的應用程式也會暫時消失。
請稍待數秒之後便會出現,延遲情況也將漸漸改善。等所有應用程式都出現於iPhone介面後,會發現盤古應用程式已經消失,取而代之的是「Cydia」應用程式,如圖7所示。
 |
| ▲圖7 完成越獄。 |
至此已經完成越獄,可將iPhone的系統透過「設定」→「一般」→「日期與時間」選項,把時間調整回現在時間,並且可以關閉電腦上的盤古程式,結束越獄程序。
透過檢視iPhone的各項應用程式,可發現於越獄前所存在的應用程式及其所內存的資料,如電話簿名單、通話紀錄、下載的應用程式、相片、備忘錄及提醒事項等均無變動,資料至終保存完好,各項程式的執行進度與已讀取、未讀取項目也依然存在。
越獄後的跡證鑑識
然而,越獄後究竟又會帶來什麼樣的風險呢?網路上眾說紛紜,諸如將會造成硬體故障、系統不穩定、失去原廠保固、誤載惡意軟體等,也有許多越獄的支持者提出反駁及針對問題的解決方案。
不論結果如何,若以資訊安全的角度來看待越獄,不難察覺其主要均透過iOS系統漏洞,或者其他能夠繞過蘋果公司安全稽核機制的方法來執行,而於執行越獄後,iPhone上許多安全機制已不復存在,勢必衍生出許多安全性問題,透過越獄後,當然也更方便於萃取出有利運用的跡證。
在越獄前,透過iTools介面進入檔案系統,使用者所能檢視的檔案僅侷限於使用者檔案,如圖8所示。
 |
| ▲圖8 未越獄狀態僅能檢視使用者檔案。 |
然而,在執行越獄後便獲得了檢視系統檔案的權限,相對於未越獄前,多了許多可檢視及變更的項目,如圖9所示。
 |
| ▲圖9 執行越獄後,便提高了使用者可自行變更及檢視權限。 |
透過捷徑「越獄系統/User/Library/SMS」,可發現一個名為sms的db檔案,如圖10所示。
 |
| ▲圖10 指定捷徑下的db檔案。 |