Jailbreak iPhone 智慧型手機 數位鑑識 iOS

留意數位證據完整性 越獄iPhone手機謹慎取證

本文透過數位鑑識軟體工具與Apple iTunes備份程序的邏輯萃取方式,觀察iPhone在執行Jailbreak程序前後,對於iPhone手機證物本身所產生的變化,並針對敏感且關鍵性的數位證據是否造成異動的爭議,彙整出可行的數位鑑識萃取與集證方法,藉以說明Jailbreak對鑑識報告產出的影響。
手動萃取所獲得的數位證據通常為螢幕畫面,由螢幕來呈現iPhone手機內部所儲存的資訊內容為何,因此在報告的形式上通常是由許多畫面的圖片資訊所組合而成。

基於上述手動萃取的特性,手動萃取存在的缺點可能包括鑑識人員的錯誤操作導致的錯誤新增/修改/刪除、螢幕畫面的錯誤解讀、文書處理之繕打錯誤以及已遭刪除的資訊無法經由畫面呈現等等。

實體萃取(Physical Acquisition)

實體萃取的方法是將整個實體記憶體區做位元流bit-by-bit的複製,也就是將實體記憶體中的每一個位元都複製的完全拷貝。若要執行實體萃取,通常是透過鑑識軟體工具來複製映像檔(即是拷貝出來的檔案),再利用可解讀映像檔的鑑識軟體工具進行解讀。

實體萃取的優點是可以保留實體記憶體內所有的數位證據,其中包含已被刪除的數位資訊,並可透過相關的鑑識軟體工具來檢視,以還原手機內部的原始資訊。

然而,若要在iPhone手機上進行實體萃取卻很困難。iPhone手機內部的記憶體被分為兩個不同的區塊,其中之一是系統分區,其儲存作業系統與預設必要的應用程式。

Apple為保護iPhone手機的iOS作業系統,避免使用者因操作不當或其他因素而導致變更系統預設設定,造成系統錯誤或設備毀損等後果,便將此分區設定為無法更改的模式,使用者的任何操作均不會更動此系統分區的任何設定。

另一個分區是使用者資訊分區,儲存了使用者在iPhone手機上的所有個人資料,包含使用者設定檔、應用程式個人資料與手機相關使用者資料等高度敏感性的個人資訊。此分區即為鑑識人員所關注的數位證據,也是需要執行實體萃取的記憶體分區。

當鑑識人員嘗試進行實體萃取時,必須先在系統分區安裝必要的鑑識工具,但因鑑識工具並不是Apple所授權的應用程式工具,因此必須先經由Jailbreak程序取得iPhone手機的最高權限,才能執行進一步的安裝與執行。

邏輯萃取(Logical Acquisition)

邏輯萃取的方法是依照檔案系統的邏輯架構儲存方式,透過作業系統所編制的目錄與路徑執行數位證據的萃取。

所涵蓋的萃取範圍即為作業系統邏輯架構範圍,在範圍內的目錄與索引所連結的路徑資料,都會經由位元流bit-by-bit的方式執行萃取。因此,若檔案或資料已被刪除,則代表其索引目錄已遭刪除,故無法透過邏輯萃取的方式取得已被刪除的檔案或資料。

手機作業系統邏輯架構明確,有利於鑑識軟體工具進行邏輯架構組織建立與萃取,因此對手機進行邏輯萃取的優點在於鑑識軟體工具的高支援度。若要針對iPhone手機執行邏輯萃取,可透過以下兩種方式:

使用商業手機鑑識軟體

第一種方式是使用商業手機鑑識軟體工具,經由連接iPhone手機與電腦主機,透過手機鑑識軟體所提供的使用者操作介面,執行簡單的邏輯萃取,並產出詳細的鑑識報告。由於市場競爭的關係,各類手機鑑識軟體工具所提供的功能均不斷地更新,以滿足鑑識人員的需求,並期望能獲得法庭上的認可。

採用Apple官方應用程式

另一種方式為使用Apple的官方應用程式Apple iTunes執行iPhone手機的檔案備份,透過解析其備份檔案後,可取得iPhone手機的內部資訊。Apple iTunes可視為是Apple產品與個人電腦連接的驅動程式及管理平台,由Apple開發並免費提供使用者下載安裝,其具備完整的影音播放器、同步、備份、燒錄、共享與瀏覽App Store的功能。針對iPhone的同步與備份支援,包含音樂、影片、相片、應用程式、通訊錄、行事曆、電子郵件帳戶以及書籤等等。透過Apple iTunes所執行的備份,其備份檔案會因作業系統不同而儲存在電腦內不同的路徑(表1)。

表1 iTunes備份檔案儲存路徑

這些備份檔案會以plist與SQLite兩種不同的檔案格式作為儲存資料格式,此兩種不同的檔案格式均可透過軟體工具進行瀏覽。在備份的機制上,iTunes採取的方式為比對式備份。

iTunes會根據iPhone上的資料比對備份檔案中的資料,如果相同,則跳過;假如內容有更動,則將備份檔案覆蓋;若有新增資料,則製作新備份資料;倘若發現資料已被刪除,則備份檔案也會跟著被刪除。因此,透過此方法執行數位證據的萃取工作即屬於邏輯萃取。

實際操作並觀察結果

由於iPhone手機的數位鑑識方法受限於其針對iOS作業系統的保護機制,因此在執行相關的數位鑑識工作時會面臨是否需要執行Jailbreak的問題。

此外,在現場執行搜索或逮捕過程中所查獲之犯罪者的iPhone手機證物,可能有「未被執行Jailbreak程序」或「已被執行Jailbreak程序」等兩種情況,因此以下將針對iPhone手機執行Jailbreak前後等兩種情形進行數位鑑識,並比較執行Jailbreak前後所萃取得到數位證據的不同,探討iPhone手機證物是否有執行Jailbreak程序的必要性。

首先,使用商業手機鑑識軟體工具XRY作為實測的工具。XRY是由Micro Systemation公司所設計,專門針對行動裝置進行數位鑑識工作的軟體工具,可支援超過4,000種不同的傳統手機、智慧型手機、GPS裝置、SIM卡和行動平板電腦進行深入的數位鑑識萃取與分析。

XRY是完整的鑑識工具組,除了軟體部分外,也含有完整手機連接線組、XRY Communication Unit、SIM卡讀卡機、SIM卡複製樣本卡和寫入保護記憶卡的讀卡機。XRY產生的鑑識報告可以加密,副檔名為.xry。而在智慧型手機的支援度上,XRY支援Android、Black Berry、iPhone、Symbian和Windows Mobile。最新版本的XRY還可以針對手機應用程式進行各類數位鑑識。

由於Micro Systemation XRY手機鑑識軟體工具組具備有較完整且有規模的相關軟硬體支援,並且是國內較多實務機關與學校所選用的手機鑑識軟體工具。因此,若能使用此套手機鑑識軟體工具探討其對於iPhone手機的數位鑑識在Jailbreak程序前後的支援程度,將為鑑識人員帶來較多的參考價值。

其次,將使用Apple的官方應用程式Apple iTunes執行iPhone手機的檔案備份,透過分析備份檔案的方式,觀察在iPhone手機執行Jailbreak程序前後備份檔案所發生的變化,並且嘗試了解Jailbreak程序對於此種邏輯萃取方式的影響程度及變化,提供實務上使用此種方法執行iPhone手機數位鑑識萃取的參考。


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!