如何有效共享?开放iPhone源代码的方法概述 |
| 2012-07-05 11:42 作者:位晓晓 石明珠 王海 来源:硅谷网 HV: 编辑:GuiGu 【搜索试试】
|
|
硅谷网讯 (原文载于《硅谷》杂志1月刊)随着移动通信技术的发展,手机成为人们工作生活中必备的通讯工具和日益重要的信息载体。随着功能的增加,手机已经从一个功能单一的移动电话发展成一台小型的个人电脑,与此同时利用手机进行的犯罪活动也与日俱增,对手机内部及通讯过程中的数据信息进行有效获取、打击这类犯罪,已成为亟待解决的问题,从手机证据的来源和获取方法两个方面展开介绍,以iPhone手机为例,介绍一种使iPhone源代码开放的方法。
一般情况下,智能手机是指具有独立的操作系统[1],可以由用户自行安装第三方服务商提供的程序,通过此类程序实现对手机的功能的不断扩充,并可以通过移动通讯网络来实现无线网络接入的一类手机。
随着科技的发展,智能手机的使用日益普及,智能手机的功能越来越强大,其在犯罪活动中充当着重要的角色。国内对电子设备数据提取技术的研究已有多年的历史,开发出多种工具,下面简单介绍几种主要工具[2]。
1)SIMcon可使用标准智能卡的读卡器来完整地显示GSM手机SIM卡上的数据信息并提供分析报告。另外它使用计算取证数据的Hash值来保证取证前后数据的一致性。同时它也支持多国语言的字符集,能正常显示不同语言下的文本信息。
2)ForensicSIM是一个软件工具包,它支持多个国家语言的字符集,能正常显示各种语言下的短消息、电话簿和个人行程表等文本信息[3]。此外,除了用来获取SIM卡上的数据信息外,它还能对这些数据进行分析并以标准格式(DTF或HTML)生成分析报告。
3)SDIphoneMobile手机数据恢复取证系统,是由国际数据恢复技术研发巨头效率源科技公司推出的兼容Iphone越狱手机的系统[4]。手机数据恢复工具的功能都比较全面,其后期推出的正式版(包含对越狱及非越狱版本的苹果手机支持),还增加了邮件通讯分析、wifi访问记录获取分析等功能,应用范围更加广泛。
1Libimobiledevice
从概念上讲,手机取证就是从手机SIM卡、手机内/外置存储卡以及移动网络运营商数据库中收集、保全和分析相关的电子证据,并最终从中获得具有法律效力、能被法庭所接受的证据的过程[5]。
实际上,能够从苹果iPhone,ipodtouch和ipad中恢复数据的方法有很多,而一般情况下,法政部门可以免费使用一些特定的工具,例如JohnathanAdziarski’s。但是,很多情况下,我们不方便使用这些工具,或者我们所使用的苹果操作系统版本不支持这些工具,那么我们该如何应对?
libimobiledevice,又称为libiphone,是用于Linux支持iPhone/iPodTouch设备进行数据交换的数据包,libimobiledevice不使用任何权限数据库,也不需要通过手机越狱来达到目的。
1.1Libimobiledevice的功能
libimobiledevice具有使其他软件能够快速访问苹果设备的文件系统、回收苹果设备的内部信息、设备的备份和存储信息,管理Springboard图标、管理已安装的应用程序,回收地址簿、日历、记事本、书签以及设备上同步播放的音乐、视频等功能。Libimobiledevice不仅仅可用作取证工具,它还可以使itunes与Linux操作系统相兼容,而Linux系统的安全性能良好[6],因此除了媒体文件夹和子文件夹,它不允许访问苹果设备上的全文件系统,即只允许访问相册和用此设备所拍摄的视频,并且通过文件浏览器可以查看音乐目录,并有权对其进行读写,这项功能是非常重要的。
为了保证数据的原始性,一般情况下将嫌疑设备连接到工作人员的计算机后,不能在电脑系统中对该设备进行数据统计以避免改变设备上的数据。因此,在Gnome桌面上我们需通过gconf-editor来关闭该设备的自动统计功能。
Libimobiledevice、ubuntu和LinuxMintDebianEdition整合在一起,使用Gnome虚拟文件系统(GVFS)来统计设备中用户主文件目录\.gvfs\下的多媒体文件夹的数量。但是如果禁止使用自动统计功能,就需要采取别的方法统计只读文件的数量,可以用ifuse来处理,但前提是在设备中安装该软件[7]。用ifuse软件,设备可以自动识别并统计特定文件夹下的只读文件,但如果在某一时刻有多个设备连接时,这需要用设备的UUID号来识别设备。用“ifuse[options]location”选项统计,例如“iphone–oro/mnt/analysis”。如果调查人员手中恰好有一个越狱的苹果设备,那么添加’--root’参数后可以完全访问该设备上的用户数据区。
在一个没有被越狱的设备上可以用ifuse统计,但在写保护的情况下,libimobiledevice可以通过GVFS访问该设备。大部分多媒体文件是有价值的,除了获取多媒体文件外,调查人员还要获得其他具体数据,例如SMS信息,通话记录或者类似的数据。
1.2Ibimobiledevice-utiles
目前,有许多成熟的工具可以使用imobiledevice数据库,在数据包管理系统称为Debianimobiledevice-utils。具体功能由下列工具实现:idevicebackup,ideviceimagemounter,idevicescreenshot,ideviceenterrecovery,ideviceinfo,idevicesyslog,idevice_id,idevicepair特别值得一提的是ideviceinfo和idevicebackup。
ideviceinfo工具可以输出关于手机本身的一些数据,包括设备名称,序列号,操作系统版本和电话号码。即使是上锁的手机也会提供有价值的数据,尽管不如解锁的手机提供的数据多。Idevicebackup工具的功能与itunes备份类似。它由用户在特定位置创建一个设备备份。Idevicebackup2要求使用操作系统ios4.3,并且,只能从源数据中获取。备份包括照片,视频,以及来自设备中的数据,包括SMS信息,通话记录,地址簿等等。
iPhone备份的文件是用十六进制进行重命名,保存在两个mbdb数据库中,用原始命名、位置和备份文件的MAC次数索引。Mbdbparse.py可以用来识别文件。可以修改mbdb__parse.py来自动命名文件,但是标准输出可以像ls-1h一样输出。Mbdb__parse.py的限制是它以十六进制显示user/group值,并用unix时间显示MAC次数。可以修改程序实现重命名文件为原始名字,但是程序现在无法公开。
2结束语
随着信息技术的飞速发展,手机功能还将不断升级完善,其应用范围也将更广阔,而手机数据恢复技术,无论资费与否,功能完善与否,都将占据信息安全数据恢复行业更大的比重,成为信息安全行业发展的一个重要支柱。
在后续的研究中,我会进一步完善备份过程的取证步骤。(《硅谷》杂志 位晓晓 石明珠 王海英 周长伦)
|
|
|
|
【对“如何有效共享?开放iPhone源代码的方法概述”发布评论】 |
版权及免责声明:
① 本网站部分投稿来源于“网友”,涉及投资、理财、消费等内容,请亲们反复甄别,切勿轻信。本网站部分由赞助商提供的内容属于【广告】性质,仅供阅读,不构成具体实施建议,请谨慎对待。据此操作,风险自担。
② 内容来源注明“硅谷网”及其相关称谓的文字、图片和音视频,版权均属本网站所有,任何媒体、网站或个人需经本网站许可方可复制或转载,并在使用时必须注明来源【硅谷网】或对应来源,违者本网站将依法追究责任。
③ 注明来源为各大报纸、杂志、网站及其他媒体的文章,文章原作者享有著作权,本网站转载其他媒体稿件是为传播更多的信息,并不代表赞同其观点和对其真实性负责,本网站不承担此类稿件侵权行为的连带责任。
④ 本网站不对非自身发布内容的真实性、合法性、准确性作担保。若硅谷网因为自身和转载内容,涉及到侵权、违法等问题,请有关单位或个人速与本网站取得联系(联系电话:01057255600),我们将第一时间核实处理。
|
|
|
|
