在iPhone帶給一般人生活諸多便利的同時,利用iPhone從事非法行為的案件也與日俱增。若能從iOS裝置取得犯罪跡證,對於調查不法事件將有相當大的幫助,所以針對iOS裝置進行數位鑑識,並從中取得可以佐證或追蹤犯罪的相關資訊,就成為不得不注重的課題。
根據全球最大市場研究公司Kanter Group報告顯示,Apple公司所推出的iPhone 6是全球最暢銷的手機,占全球總售出手機數量的19%。行動廣告平台Vpon公布2014年第三季台灣行動市場的數據報告,透過每月接觸數千萬位不重複裝置使用者的數據來分析台灣行動裝置現況與使用習慣,發現iPhone與iPad持有者明顯較上季增加,主要原因在於iPhone 6上市半個月就攻下台灣1%的行動手機市場。由此可見,iOS系統逐漸成在世界與台灣行動裝置中占有一席之地。
當iOS裝置逐漸成為生活的必需品,雖然眾多的功能提供多元的便利性,卻成為犯罪者的隨身物品甚至犯罪工具。
儘管這些裝置能夠協助不法者從事不法行為,但同時,在不法者遭逮捕後,這些裝置亦能提供有用的資訊來證明這些不法者的犯罪跡象,例如裝置內的自動定位功能即可掌握相關的犯罪行蹤。
本文將簡單介紹iOS裝置的基本知識,並說明取得iOS的定位資訊的方式。
背景知識介紹
本文將從iOS作業系統、其檔案系統說起,並解釋何謂手機數位鑑識,且介紹相關可用的軟體工具。
iOS作業系統
iOS為蘋果公司以Darwin為基礎所開發的行動裝置操作系統,支援的裝置包括iPhone、iPad、iPod touch與Apple TV,並不支援非蘋果的硬體裝置。
iOS系統架構分為核心作業系統層(Core OS Layer)、核心服務層(Core Service Layer)、媒體層(Media Layer)以及觸控應用層(Cocoa Touch Layer)。
iOS檔案系統
iOS系統的檔案架構為HFS+(Hierarchical File System Plus),而系統分成系統磁區(System or Root Partition)與使用者磁區(User or Media Partition)。
檔案格式主要分為兩種,分別為使用者對裝置配置設定的Property List(.plist)檔案,以及儲存使用者個人資料庫的SOLite(.sql)檔案。
手機數位鑑識
欲對iOS裝置進行數位鑑識與分析,分析對象主要可區分為對「備份」分析以及對「裝置」分析
兩種。
對「備份」分析
iPhone必須利用iTunes進行備份,於此備份中可以取得完整的使用者資訊,包含通訊錄、通話紀錄、行事曆、應用程式資訊、相片影片等等。由於iPhone對其檔案內容有進行保護,所以必須透過鑑識軟體來進行分析。
對「裝置」分析
將iOS裝置與電腦或鑑識工具連接並進行萃取
與分析,其萃取方法又可分為邏輯萃取
(Logical Acquisition)以及實體萃取(Physical
Acquisition)。
邏輯萃取是透過基本的裝置連接取得,利用系統API來對檔案系統存放的邏輯性資料進行存取與解讀,有其相容性高與低權限的優點,但具高揮發性且不易對已刪除檔案進行修復與分析。
而實體萃取則是以記憶體位元複製來取得完整內容,雖然程序複雜所需權限較高,但其具備低揮發性的特色且可進一步分析並修復已刪除的檔案。
相關軟體介紹
此類軟體工具皆支援PC與Macintosh,而本文的使用環境以Macintosh為主。
iTunes
iTunes是一款媒體播放器的應用程式,用來播放以及管理數位影音檔案,並可連接iTunes Store來購買相關影音產品。
而後更成為管理蘋果iOS裝置的檔案系統程式,如圖1所示,可於蘋果官方網站免費下載,本文即是透過iTunes取得iPhone的備份來進行分析。
 |
| ▲圖1 iTunes連接行動裝置的畫面,可利用此程式進行手動備份。 |