本文將以Mac OS系統的相關軟體來針對可能的犯罪工具iOS裝置進行鑑識,目標是要找到攻擊者利用iOS裝置進行遠端桌面連線到被害人電腦後所可能留下的足跡。
在圖6中有Server端的ID與密碼,此為TeamViewer的保護機制,只有Client端使用者才會知道這兩個資訊,也才能做進一步的連線。
Client端則是從iPhone的App Store下載TeamViewer App,輸入Server端ID與密碼後即可連線操作,如圖7?8所示。
|
▲圖7 Client手機端的開啟畫面。 |
|
▲圖8 TeamViewer遠端桌面操作畫面。 |
使用Chrome Remote Desktop
從Chrome瀏覽器的Chrome線上應用程式商店裡下載並安裝Chrome Remote Desktop,Windows版本會直接安裝於瀏覽器的Google雲端運用內,而Macintosh版本則會執行擴充程式,如圖9所示。
|
▲圖9 此為Chrome Remote Desktop開啟畫面,尚未啟用遠端存取功能。 |
Chrome Remote Desktop是以PIN碼作為保護Server端的防護機制,如圖10所示。
|
▲圖10 PIN碼的保護機制。 |
由於Chrome Remote Desktop的連線方式是以Server端電腦本身的遠端存取功能進行連接,所以必須開啟該部電腦的遠端存取功能,如圖11所示,開啟後即可接受Client端連線,如圖12所示。
|
▲圖11 開啟電腦遠端存取功能。 |
|
▲圖12 出現可提供連線的畫面。 |
Client端一樣是從iPhone的App Store下載Chrome Remote Desktop,如圖13所示。
|
▲圖13 出現Client端手機開啟畫面,必須輸入PIN碼。 |
然後,選擇可以連線的電腦(藍色螢幕縮圖),即可進行遠端桌面操作,如圖14所示。
|
▲圖14 在Chrome進行遠端桌面操作。 |
萃取遠端桌面相關資料
智慧型手機已經成為日常生活中不可或缺的用品,iPhone更是許多使用者的首選,而這也提高了犯罪者將它作為犯罪工具的可能性。在許多犯罪中,皆可以利用此特性來作為犯罪調查的目標,以取得可能的數位證據。
此外,遠端桌面也配合著智慧型手機的興起,而有了不一樣的發展。雖然Server端仍舊是系統或電腦,但Client端從原本的電腦發展到了智慧型裝置上,如此一來,就能夠以更方便更無遠弗屆的方式來運用遠端桌面的服務,但可惜的是,犯罪也因為這些更好的服務而有更多隱匿的可能。
幸好,行動裝置的數位鑑識在此時派上用場。遠端桌面的連線會在Client端電腦的Registry內留下許多紀錄,同理來說,Client端的iPhone上應該也會留下一些蛛絲馬跡。
本文將以iPhone作為Client端來遠端控制Server端的Macintosh,而欲取得這些蛛絲馬跡必須先用iTunes對iPhone進行備份,而後再做備份的萃取,方式如下所述。
iPhone備份
將所欲進行鑑識的iPhone連接Macintosh,這個時候電腦將自動執行iTunes來做為該裝置的檔案管理,點選左上方的手機圖示,即可進入手機檔案管理畫面。
在備份區塊內選取「這部電腦」,然後按下右方的〔立即備份〕按鈕即可手動進行備份,如圖15所示,並將備份儲存在路徑「/使用者/資源庫/Application Support/MobileSync/Backup/」之下。
|
▲圖15 利用iTunes來完整備份iPhone內系統資料。 |