微信公众号：计算机与网络安全

▼

iOS现在不仅安装在iPhone手机中的操作系统，同样也安装在iPod Touch、iPad等设备中。这里主要针对采用iOS的iPhone智能手机的取证分析进行探讨，其他设备的取证分析与iPhone基本类似，但由于其他设备一般不具备电话功能，所以不再具体阐述。

iOS的前身是iPhone OS，在第一部iPhone手机——iPhone 2G推出时，其中便搭载了iPhone OS，这种操作系统由苹果公司基于Unix的MAC OS X演变而来。

目前，iOS采用的是苹果公司的HFSX文件系统，HFSX与苹果MAC OS X所采用HFS+文件系统基本类似，两种文件系统的差异在于对文件系统内文件名称大小写的区分。HFS+/HFSX文件系统结构如图1所示。

图1 HFS+/HFSX文件系统结构

在iPhone手机中，存在两个分区，一是iPhone操作系统分区，二是iPhone数据分区，大小依iPhone内置存储空间的不同而不同。

以下就如何对iPhone手机进行取证进行阐述。通常情况下，类似于对Android系统的手机进行取证，有3种方式，即备份文件取证、逻辑取证和物理取证。

1. 备份文件取证

针对备份文件进行取证分析是iPhone取证的常见方法。在了解备份文件之前需要对备份操作和同步操作加以区分。将iPhone手机和iTunes进行同步操作时，一般只会保存特定的信息（如设备的序列号）；而进行备份操作时，会在计算机中保存手机上的一些重要数据（如SMS短信、通话记录、联系人以及其他应用程序数据），而此类数据往往是手机取证调查人员重点关注和主要调查对象，所以，在进行iPhone手机取证时，备份文件的取证分析是最为直接、最不可忽视的途径之一。

iPhone备份文件取证的另一个优势是，调查人员可以在拿不到iPhone手机的情况下，从被调查对象的计算机或移动存储介质上提取备份文件进行取证分析。

展开全文

在用户使用iTunes对iPhone进行备份时，iTunes软件通过自带的同步协议从iPhone手机中的特定数据区域提取数据，并将其打包为备份文件保存在计算机上，而由于采用了官方的数据同步协议，也就意味着备份文件中只可能包含既有的、未被删除的逻辑数据和程序数据，不会包含文件镜像或已删除的数据信息。

2. 逻辑取证

iPhone的逻辑取证是指通过使用iTunes同步协议或第三方工具提取iPhone中指定信息、文件或文件夹的方法，一般通过逻辑取证，可以从iPhone手机中提取SMS短信、通话记录、日程安排、联系人、照片、网页浏览历史、电子邮件和绝大多数手机应用程序的数据，这种方法与上述备份文件取证一样，仅可以获取所有未被删除的数据，iPhone手机上已经被删除的数据使用逻辑取证的方式暂无法实现完全恢复。

逻辑取证的主要原理是通过提取手机存储的SQLite数据库文件和Property List（Plist）文件并对其结构进行解析，从而提取相关信息，由于在iOS中保存的大多数应用程序数据的存储方式都采用SQLite数据库（包括iOS中保存的SMS短信、MMS彩信、联系人和所有通话记录等），所以具备一定技术基础的手机取证调查人员可以通过相应的工具，将相应的文件从iPhone手机中提取出来，使用相应的查看软件进行分析。在大多数情况下，这种方法可以从此类数据库中导出一定数量的数据，并可能包含一定数量有价值的潜在证据信息。

目前，绝大多数手机取证软件都是通过此种方式提取iPhone手机中逻辑数据的。

值得注意的是，在一些特定的情况下，手机取证调查人员可以借助专用的技术或工具，从SQLite数据库文件中进行一定程度的数据恢复，从而可能提取到已经被删除的信息，这种取证一般依赖于所采用的SQLite数据库恢复方法。尽管目前已经有方法可以通过分析SQLite数据库结构实现一定程度的数据恢复，逻辑恢复可为相应的后期恢复提供文件，但这并不代表逻辑取证可以从iPhone手机中实现数据恢复。

3. 物理取证

提到物理取证，大多数有经验的计算机取证调查人员会意识到，这种方法主要通过对设备进行镜像获取的方式进行取证，类似于在计算机取证中，对嫌疑人计算机硬盘的位对位复制或制作镜像文件。

和计算机取证一样，得到存储镜像（即手机内存的镜像）意味着调查人员可以获得最大数量的证据来源，除了可以提取前两种方式（备份文件取证和逻辑取证）所能获取到的所有数据外，还使从手机中恢复所有被删除的数据成为可能。

但提取iPhone手机的镜像远不如制作一块计算机硬盘副本那么容易，手机取证调查人员需要掌握一定的技术，并且利用专用的工具才能够实现；计算机取证中所使用的一些工具在iPhone手机取证时也可继续沿用。例如，可以在Linux环境下使用dd命令将已越狱的iPhone手机内存提取为镜像文件。

目前，Cellebrite UFED Physical Analyzer、MSAB XRY、Elcomsoft Ios Forensic Toolkit等均支持针对iOS的物理取证，从原理上讲，主要是吸收了越狱工具所使用的iOS软硬件漏洞，在DFU模式下进行提权，从而获得iOS设备的内存镜像。

▲

- The end -