苹果手机IOS系统3种取证方法测评对比研究

admin管理员组

文章数量:1531657

2023年12月19日发(作者：)

中国人民公安大学学报(自然科学版)2020

年第

4

期

No.

4

2020

Journal

of

Peopled

Public

Security

University

of

China

(

Science

and

Technology)

总第

106

期

Sum106苹果手机IOS系统3种取证方法测评对比研究刘枧▽,邱平3,苏顺华3（1.贵州警察学院计算机科学系，贵州贵阳550005；

2.公共大数据国家重点实验室，贵州贵阳550025；3.贵州省公安厅网络安全保卫总队，贵州贵阳550001）摘要通过公安电子数据取证的具体实例，从浏览器历史记录、聚合位置信息、钥匙串（Keychain）、日志文件和输

入法、即时通讯5个维度，使用普通的不加密备份取证、加密备份取证和逻辑镜像取证3种不同的取证方法，对同

一部苹果手机ISO系统进行测评实战比对。通过对比3种取证方法提取的数据量，阐明电子数据取证方法对取证

数据和案件侦查的影响,并详细分析各类数据对案件侦查的作用。关键词

苹果手机；IOS系统；取证方法；测评对比；备份中图分类号D918.

2

文献标志码AA

Comparative

Study

on

the

Evaluation

of

Three

Forensics

Methods

of

Apple

Mobile

ISO

SystemLIU

Jian1，2

,

QIU

Ping3,

SU

Shunhua3(1.

Department

of

Computer

Science,

Guizhou

Police

College,

Guiyang

550005

,

China

；2.

State

Key

Laboratory

of

Public

Big

Data，

Guiyang

550025，

China；3.

Network

Security

Corps,

Public

Security

Department

of

Guizhou

Province,

Guiyang

550001,

China)Abstract:

Through

the

concrete

examples

of

public

security

electronic

data

forensics,

from

the

five

di­mensions

of

browser

history,

aggregate

location

information,

keychain,

log

file

and

input

method,

instant

messaging

，

using

three

different

forensics

methods，

i.

e.

common

unencrypted

backup

forensics，

encrypt­ed

backup

forensics

and

logical

image

forensics，

the

same

Apple

Mobile

ISO

system

is

evaluated

and

compared

in

actual

combat

By

comparing

the

amount

of

data

extracted

by

these

three

methods，

this

paper

expounds

the

influence

of

electronic

data

collection

methods

on

evidence

collection

data

and

case

investi­gation,

and

analyzes

all

kinds

of

data

in

words:

Apple

Mobile;

ISO

system

； forensics

method;

evaluation

comparison

；

backup0引言轨迹和活动情况。在涉网案件的侦办过程中，从嫌

疑人手机提取到的电子数据，不仅可以找到与案件

在移动互联网技术不断发展的今天，移动智能

相关的重要信息，还能通过对手机数据的深度研判,

刻画出犯罪嫌疑人的犯罪动机及心路历程，往往对

终端已成为人们生活中必备的工具,人们的吃住行

消乐都可以依托智能手机完成。使用智能手机时,

案件的侦破以及定罪量刑起着极其关键的作用。对

侦破案件、发现犯罪动机以及研究此类案件特点有手机中留下的各种数据，可以刻画出持机人的生活收稿日期2019-02-04作者简介

刘枧（1963—）,男，湖南邵东人，副教授、系副主任。研究方向为公安大数据应用、计算机数学建模。E-mail：gzp-

cliujian@

163.

com・62・

刘

枧等：苹果手机IOS系统3种取证方法测评对比研究着非常重要的作用。不加密备份、加密备份和逻辑镜像这3种取证方法

随着存储芯片加密技术在智能终端中的广泛运

提取数据的差别。目前对于苹果手机的取证，一般采用备份数据

用，早期在涉网案件中遇到的IOS系统和Andriod

系统设备取证过程中使用的“物理镜像”法，已经无

法发挥作用。目前，对IOS系统涉案设备的取证中

法和逻辑镜像法。

镜像分为物理镜像和逻辑镜像，

物理镜像是所用存储的一个副本，包含了所有数据,

常用的方法为逻辑镜像提取、加密备份提取和不加

密备份提取3种方法。但是使用不同的方法提取到

的数据量也会有很大的差距，本文主要针对涉网案

但是现在存储机制使用了全盘加密，因此对苹果手

机做物理镜像没有任何实际意义;逻辑镜像是指针

对使用空间进行的镜像,它不仅包括了应用程序的

数据,还包括了系统日志文件、应用程序日志等重要

信息。

而备份仅仅是对应用程序数据的备份，

不包

件侦办过程中遇到的IOS设备取证中常用的3种方

法进行了分析研究。1电子数据电子数据是案件发生过程中形成的，以数字化

形式存储、处理、传输的,能够证明案件事实的数据。

电子数据勘查取证，是指侦查人员运用科学的取证

技术，对犯罪有关的电子数据进行收集、提取、分析、

固定的侦查活动。在侦办涉网案件过程中，常常需

要对包括移动智能终端在内的涉案电子设备进行

电子数据勘查取证，苹果、安卓等智能手机是涉网

案件中常见的涉案智能终端。

对涉案智能终端进

行勘查取证，一般需要对手机短信、通话记录、即

时通讯、上网历史记录、移动支付交易记录、手机

相册、电子文档，以及其他手机APP的使用记录等

与案件相关的电子数据进行提取固定，为案件的

侦破提供证据支撑,为审判过程中定罪量刑提供

参考依据。在侦办信息案件中，最重要的便是对电子数据

的查证，电子数据是查清信息案件情况的关键要素,

是认定犯罪事实最重要的证据。电子数据的来源包

括犯罪时可能使用的服务器、电脑、手机、移动存储

设备等电子设备。2苹果手机取证技术原理IOS是由苹果公司开发，并于2007年1月9日

发布的移动操作系统，最初是设计给iPhone手机使

用的,后陆续沿用至iPod

touch、iPad以及Apple

TV

等苹果设备上。用户使用IOS设备时，需要注册

Apple账户ID,该账户可以关联多台“苹果”设备，用

于存储照片、视频、文档、音乐、App等内容，并在各

种设备上同步保持更新。随着科学技术的发展，芯

片加密的应用越来越广泛，早期通过物理镜像,直接

读取芯片进行取证的方法，由于加密机制的出现已

经失去了意义。我们通过具体实例,分析比较一下

括日志和软件配置等信息。因此从提取数据量来

说,肯定是物理镜像不仅大于逻辑镜像,而且大于备

份数据。逻辑镜像是提取设备的完整文件系统,可以访

问用户的数据，也就是说，提取的是包含在iTunes

备份中的内容。从某种层面上来说,我们无法恢复

已删除的文件，但是由于SQLite数据库的空闲表和

未分配的空间，我们还是可以恢复已删除的记录，包

括短信和其他聊天记录，浏览历史记录等。使用手机取证系统进行逻辑镜像提取的前提是

手机可以连接到电脑PC端,逻辑提取是访问存储

在IOS设备数据的最快、最简单的方式,能进行逻辑

提取的工具有很多，有商业工具也有免费工具,而多

数这类工具都要求设备能够解锁,或者能提供信任

计算机上面已有的Plist文件；使用内部配对记录管

理，则用给定的主机ID对设备进行解配。任意一台

与IOS设备同步过的计算机都存储了大量的信息,

这些计算机通常称为主计算机，可以具有历史数据,

可以用作绕过屏幕解锁的信任文件。iTunes备份在案件调查中，可以通过搜查令以

取得嫌疑人的计算机，从而得到备份和lockdown文

件。IOS备份文件取证主要涉及分析由iPhone、

iPad、iPod

touch

或

Apple

Watch

生成的离线备份,

Apple

Watch的数据将包含在同步过的iPhone备份中。当IOS设备的物理提取、文件系统提取不可行,

且逻辑提取无法满足取证需求时,iTunes备份提取

也能发挥作用。在这种情况下，调查取证人员只需

要制作设备的备份并使用取证软件对其进行分析。

因此调查取证人员必须完全理解备份过程和所涉及

的工具,以确保他们能够制作取证备份,且不让其他

数据对iTunes中的数据造成污染。iTunes是苹果公司推出的连接IOS设备和电脑

主机的一款应用软件，其“备份”功能可以从IOS设

-63

-

刘

枧等：苹果手机IOS系统3种取证方法测评对比研究备获取大部分数据，如通话记录、上网记录、即时通

份来搜索遗留的历史信息。由于备份可能使用的是

iTunes或iCloud,且同一设备有可能存在多个备份。

讯、手机钱包、支付类应用信息等，所以经常被取证

人员用做IOS设备的数据提取。iTunes提供加密备

份选项，但默认情况下同步iPhone时，它就会创建

一个未加密的备份。加密备份在解密后，可以掌握

调查取证人员必须对每个备份进行取证分析，寻找

与案件相关的痕迹与线索。需要注意的是，通常在IOS设备连接到计算机

时,iTunes会自动开始进行同步过程。为避免IOS

存储在IOS设备上的额外数据的访问权限。用户常常会制作备份文件，以防在设备损坏或

丢失后损失数据。因此，我们既可以为设备创建一

设备与计算机之间意外的数据传输,在把设备连接

到取证计算机前,请务必取消自动同步功能。加密

备份和不加密备份的区别如图

1

所示。个全新的备份进行分析，也可以利用现有的IOS备

图1加密备份和不加密备份当我们连接上IOS设备并打开iTunes,点击立

即备份，会弹出如图1所示的对话框，弹出是否加密

3.1浏览器历史记录浏览器的历史记录，记录了机主使用手机上网

留下的痕迹,这是反映机主内心世界的重要指标,这

备份，如果选择加密备份，会提取到“健康”和

“

Homekit”等更多数据,这是因为这两种备份数据加

个信息往往在案件侦查中能够起到非常重要的作

密方式不同。在加密备份中数据是基于备份密码

用。最经典的案例就是2004年云南大学学生马加

爵杀人案，当时马加爵与同学因琐事积怨，从而产生

进行加密,与当前硬件无关,在取证或者仿真过程

中将数据还原到任何一台设备都不影响数据的解

报复杀人心理,随后购买了作案工具,在宿舍里相继

残忍杀死4名同学后潜逃。手机的浏览器历史信息

析;而在不加密备份中，数据的加密是基于本机的

硬件特征来进行加密,我们在取证或者仿真的过

程中需要将备份还原到其他设备上，就会造成数

据的缺失,这就是加密备份与不加密备份提取数

记录了机主的上网行为，可据此分析机主使用手机

上网的目的和动机。比较一下3种取证方式提取的浏览器历史记录

据不同的原因。3苹果手机3种取证方法实战测评对比数据，如图2所示，加密备份和不加密备份提取的数

据都是16条,但是逻辑镜像提取了

31条数据，比通

通过公安电子数据取证的具体实例，从5个维

度对不加密备份取证、加密备份取证和逻辑镜像取

证这3种取证方式提取的数据进行测评实战比对,

过备份方式获取的数据多了

15条。使用普通的备份提取方式无法提取手机百度

App的数据，而在整个历史记录里边,本案中刚好从

手机百度这个记录中发现了和案件相关的数据信

并详细分析各类数据对案件侦查的作用。息,为案件的研判提供了很好的依据。-64

•

刘

枧等：苹果手机IOS系统3种取证方法测评对比研究图2浏览器历史记录取证数据对比3.2聚合位置信息位置记录，从而大致确定该机主的活动范围,如果结

所谓聚合位置信息,简而言之就是把所有手机

里的位置信息全部汇聚在一起进行展示,这些信息

包括导航的位置信息、WIFI的经纬度、照片的GPS

位置、微信或QQ聊天中发送的位置、运动软件记录

合时间节点数据就能得到更多对案件侦查有价值的

线索。如图3所示，逻辑镜像提取聚合位置信息

12

995条数据，而通过不加密备份、加密备份这两种

的位置等等。将手机里的这些位置信息做一次集中

整合，就可以知道该手机到过、搜索过或者接收过的

备份方式都只提取到7条数据，相差近13万条数

据,获得的数据差距是非常大的。图3聚合位置信息取证数据对比本案通过位置聚合信息功能，侦查人员很快锁

码、认证令牌等重要的敏感信息。因此用户即使将

APP删除,钥匙串Keychain也会保留有关的配置信

定了该组织的活动范围,缩小了包围圈，为案件的进

一步侦查提供了更好的思路。3.

3

钥匙串(Keychain)息,下次用户再装APP时，系统还能从Keychain中

获取数据。如图4所示，逻辑备份除了提取包括证

书、通用密码等347个Keychain数据外，还可以提

对于苹果手机IOS系统取证来说，钥匙串

(Keychain)是非常重要的数据信息，因为钥匙串是

IOS系统的密码管理系统，也可以说是IOS设备中

取到备份文件的明文密码，这是非常重要的数据信

息;而加密备份只提取到149个Keychain数据，不

一个安全的存储容器，一般是用来保存用户名、密-沪钥匙串(149)加密备份提取到的钥匙串Keychain数据为0。回也书签(15)S沪钥題串(347)

|

0£

所^35(340)0证书⑶殛昭息(7)

囱位置異合(7)B里犍⑼.聲谿(306)

创郭(4)-

的网塔密码_

⑨酹(27)|总血分逻辑镜像直Wifi⑷Q

Token

(1)

3

Safari

⑼>

Cookies

(644)S)但日历(90)因庆搜素项目⑺

$

f历史记录(16)

司Wifi⑸

b

Token (1)

©劇⑴

❹

Safari

(15)国齢蜩(1)图4钥匙串(Keychain)取证数据对比-65

-

刘

枧等：苹果手机IOS系统3种取证方法测评对比研究在进行数据分析中,从通用密码里找到了嫌疑

而且现在大多数智能输入法都会根据用户输入的频

次来创建个性化的输入，这使我们在取证实战中往

人的邮箱账号和密码，并且从邮箱里发现了相关涉

案信息。因此充分利用好钥匙串Keychain的数据

信息，对破解密码和情报挖掘有着非常重要的作用。3. 4

日志文件和输入法往能发挥出奇兵的作用。在一起赌博案件侦查中,

侦查人员在抓获犯罪嫌疑人时，犯罪嫌疑人已经对

手机进行了全面的清理，没有任何证据证明其与案

日志文件记录了对于软件的安装卸载，文件的

打开和关闭时间,文件接收路径，连接过的WIFI等

信息,这对于判断案件性质、指明侦查方向、确定案

件相关，但是侦查员通过提取了他的输入法词典，从

词典中发现了大量与案情有关的赌博词汇，以此为

依据,随即对他展开猛烈攻势,最终突破犯罪嫌疑人

发时间等有着非常重要的意义。如在一起纵火自杀

案件的侦办过程中,在大量证据确实的情况下,通过

的防线，使其交代了犯罪事实。如图5所示，逻辑镜像提取了日志文件14万余

提取手机与WiFi连接断开的时间为依据，非常精确

地确定了案发的时间,为案件侦破提供了重要的数

条数据，并且还提取了机主输入法的用户词典；而不

加密备份、加密备份这两种备份方式仅仅提取了

4

据信息支撑。万余条数据,两者相差了近10万条数据。现在很多人习惯于个性化设置自己的输入法,

回甸轴入法⑴卜用户词典⑴E)鸟日志(142840)

@

Cookies

(644)•

H日历(90)鸟应日志(852)

[>Wi-F旧志(812)-.妄果飜(149)

•鸟文件日志(14117”

認盼⑴

©步数(74)

鸟开机日志⑷-剜息(39/1"

0 Wi-Fi

©5^8(39/16)1-逻辑镜卜步行和跑步图5日志文件和输入法取证数据对比3.

5

即时通讯在这次实战测评对比中，如图6所示，逻辑镜像

对于手机取证来说，即时通讯的重要性再怎么

强调都不过分，它不仅可以作为案件侦破的直接线

提取了

QQ记录1万余条数据，而加密备份、不加密

备份两种备份方式只提取了

QQ记录9千余条数

据,逻辑镜像比备份方式多提取QQ记录800余条

数据。索，固定后作为定罪量刑的证据,还可以为案件侦查

提供方向和思路。♦10^(2108/223)-。删消忌⑴心/444®-10^(2108/223)j

BQQ

(9669/4210)—伽砂

,..

(134/53)

(1974/170)BQQ

(9669/4210)-|jm(22)卩耕(22)&叔

*)5...

(9647/4210)图6即时通讯软件取证数据对比|嬉锹(22)4结语Gmail

Skype、系统邮件、facebook、百度地图、旺信、易

信、uc浏览器、手机百度、百度、携程、人人、potato、

soul、遇见、聊天宝、百度云、dropbox、支付宝、谷歌地

苹果手机数据提取,大多数App用户数据不支

持备份提取，个别App备份数据不全，很多App通

图、signal、mqqi、百度贴吧等的运用，也只能通过镜

过备份提取仅能解析出账号信息，没有其他历史记

录。对于

twitter、telegram、telegram

x、淘宝、闲鱼、

・66・像方式提取数据，

无法通过备份方式提取数据。通过多次验证和研究发现，苹果手机IOS系统

刘

枧等：苹果手机IOS系统3种取证方法测评对比研究逻辑镜像提取的数据量是最大的，其次是加密备

中发挥“杀手锏”的作用。参考文献[1]

份解析，再次是不加密备份。因此，在对苹果手机

IOS系统进行取证时，应该做到优先提取逻辑镜

像，其次进行加密备份，最后选择普通的不加密

备份。罗超，刘枧.“第三只眼”的探索和实践一一以贵阳市

公安局云岩分局为例[J].中国刑事警察,2017(2)

：41

-

42.在信息化不断深入影响社会生产生活的今天,

几乎所有案件的侦查都离不开电子数据取证，电子

[2]

刘枧，裴文.贵州大数据网络安全社会综合治理体系

数据取证已经成为各类案件侦查的重要手段和工

具,发挥着越来越重要的作用。但同时，随着各种加

[3]

研究[J].贵州警官职业学院学报,2019(5):113

-

118.刘枧，胡鹏.大数据时代公安基础信息采集五步工作

密技术的发展和社会各界对个人隐私保护的普遍重

视,电子数据取证的难度也越来越大,特别是在密码

破解、芯片取证等方面，由于破解难度太大，取证成

本过高等问题，电子数据取证经常面临“理论上可

行、实际上不行”的窘境。因此在公安实战中我们

要尝试多种工作方法,评估成本和效果的关系,寻求

一个最有利的平衡点，让电子数据取证在侦查工作

法[J].公安教育,2020(2)

：30

-33.[4]

刘枧,张怀学.贵州公安机关警务实战化水平提升研

究[J].贵州警察学院学报,2020(3)

：11

-15.[5]

Chet

Hosmer.电子数据取证与Python方法[M].张俊,

译.北京：电子工业岀版社,2017.(责任编辑陈小明)・67

•

本文标签： 数据取证备份提取手机