发表时间:2013-01-10
最后修改:2013-01-10
一般情况下,智能手机是指具有独立的操作系统,比如iphone开发可以由用户自行安装第三方服务商提供的程序,通过此类程序实现对手机的功能的不断扩充,并可以通过移动通讯网络来实现无线网络接入的一类手机。
随着科技的发展,智能手机的使用日益普及,智能手机的功能越来越强大,其在犯罪活动中充当着重要的角色。国内对电子设备数据提取技术的研究已有多年的历史,开发出多种工具,下面简单介绍几种主要工具。
1)SIM con可使用标准智能卡的读卡器来完整地显示GSM手机SIM卡上的数据信息并提供分析报告。另外它使用计算取证数据的Hash值来保证取证前后数据的一致性。同时它也支持多国语言的字符集,能正常显示不同语言下的文本信息。
2)Forensics IM是一个软件工具包,它支持多个国家语言的字符集,能正常显示各种语言下的短消息、电话簿和个人行程表等文本信息。此外,除了用来获取SIM卡上的数据信息外,它还能对这些数据进行分析并以标准格式(DTF或HTML)生成分析报告。
3)SD Iphone开发 Mobile手机数据恢复取证系统,是由国际数据恢复技术研发巨头效率源科技公司推出的兼容Iphone越狱手机的系统。手机数据恢复工具的功能都比较全面,其后期推出的正式版(包含对越狱及非越狱版本的苹果手机支持),还增加了邮件通讯分析、wifi访问记录获取分析等功能,应用范围更加广泛。
1 libimobiledevice
从概念上讲,手机取证就是从手机SIM卡、手机内/外置存储卡以及移动网络运营商数据库中收集、保全和分析相关的电子证据,并最终从中获得具有法律效力、能被法庭所接受的证据的过程。
实际上,能够从苹果iPhone开发,ipod touch和ipad中恢复数据的方法有很多,而一般情况下,法政部门可以免费使用一些特定的工具,例如JohnathanAdziarski’s。但是,很多情况下,我们不方便使用这些工具,或者我们所使用的苹果操作系统版本不支持这些工具,那么我们该如何应对?
libimobiledevice,又称为libiphone,是用于Linux支持iphone开发/iPod开发设备进行数据交换的数据包,libimobiledevice不使用任何权限数据库,也不需要通过手机越狱来达到目的。
1.1 libimobi ledevice的功能
libimobiledevice具有使其他软件能够快速访问苹果设备的文件系统、回收苹果设备的内部信息、设备的备份和存储信息,管理Springboard图标、管理已安装的应用程序,回收地址簿、日历、记事本、书签以及设备上同步播放的音乐、视频等功能。Libimobiledevice不仅仅可用作取证工具,它还可以使itunes与Linux操作系统相兼容,而Linux系统的安全性能良好,因此除了媒体文件夹和子文件夹,它不允许访问苹果设备上的全文件系统,即只允许访问相册和用此设备所拍摄的视频,并且通过文件浏览器可以查看音乐目录,并有权对其进行读写,这项功能是非常重要的。
为了保证数据的原始性,一般情况下将嫌疑设备连接到工作人员的计算机后,不能在电脑系统中对该设备进行数据统计以避免改变设备上的数据。因此,在Gnome桌面上我们需通过gconf—editor来关闭该设备的自动统计功能。
Libimobiledevice、ubuntu和Linux Mint Debian Edition整合在一起,使用Gnome虚拟文件系统(GVFS)来统计设备中用户主文件目录\.gvfs\下的多媒体文件夹的数量。但是如果禁止使用自动统计功能,就需要采取别的方法统计只读文件的数量,可以用ifuse来处理,但前提是在设备中安装该软件。用ifuse软件,设备可以自动识别并统计特定文件夹下的只读文件,但如果在某一时刻有多个设备连接时,这需要用设备的UUID号来识别设备。用“ifuse[options]location”选项统计,例如“iphoneo ro/mnt/analysis”。如果调查人员手中恰好有一个越狱的苹果设备,那么添加’-root’参数后可以完全访问该设备上的用户数据区。
在一个没有被越狱的设备上可以用ifuse统计,但在写保护的情况下,libimobiledevice可以通过GVFS访问该设备。大部分多媒体文件是有价值的,除了获取多媒体文件外,调查人员还要获得其他具体数据,例如SMS信息,通话记录或者类似的数据。
1.2 ibimobi ledevice-utiles
目前,有许多成熟的工具可以使用imobiledevice数据库,在数据包管理系统称为Debian imobiledevice-utils。具体功能由下列工具实现:idevicebaCkup,ideviceimgemounter,idevicescreenshot,ideviceenterrecovery,ideviceinfo,idevicesyslog,idevice_id,idevicepair特别值得一提的是ideviceinfo和idevicebackup。
ideviceinfo工具可以输出关于手机本身的一些数据,包括设备名称,序列号,操作系统版本和电话号码。即使是上锁的手机也会提供有价值的数据,尽管不如解锁的手机提供的数据多。Idevicebackup工具的功能与itunes备份类似。它由用户在特定位置创建一个设备备份。Idevicebackup2要求使用操作系统ios4.3,并且,只能从源数据中获取。备份包括照片,视频,以及来自设备中的数据,包括SMS信息,通话记录,地址簿等等。
iPhone备份的文件是用十六进制进行重命名,保存在两个mbdb数据库中,用原始命名、位置和备份文件的MAC次数索引。Mbdb parse.py可以用来识别文件。可以修改mbdb_parse.py来自动命名文件,但是标准输出可以像ls-lh一样输出。Mbdb_parse.py的限制是它以十六进制显示user/group值,并用unix时间显示MAC次数。可以修改程序实现重命名文件为原始名字,但是程序现在无法公开。
2 结束语
随着信息技术的飞速发展,手机功能还将不断升级完善,其应用范围也将更广阔,而手机数据恢复技术,无论资费与否,功能完善与否,都将占据信息安全数据恢复行业更大的比重,成为信息安全行业发展的一个重要支柱。