Apple iOS 作業系統可否恢復被刪除的資料?
為了增強隱私和安全性,蘋果不斷加強 iPhone 和 iPad 等裝置的系統安全,採用先進的加密機制來防止或限制數據訪問。 iOS 裝置上的所有檔案都是以加密方式存儲,使用的加密金鑰是唯一且不可重複的。當檔案被刪除時,加密金鑰會立即被銷毀。即使刪除的檔案仍然存在於儲存空間中,即使擁有低階存取儲存分區的能力(需要越獄或漏洞),也無法「恢復已刪除的檔案」。
為了增強隱私和安全性,蘋果不斷加強 iPhone 和 iPad 等裝置的系統安全,採用先進的加密機制來防止或限制數據訪問。 iOS 裝置上的所有檔案都是以加密方式存儲,使用的加密金鑰是唯一且不可重複的。當檔案被刪除時,加密金鑰會立即被銷毀。即使刪除的檔案仍然存在於儲存空間中,即使擁有低階存取儲存分區的能力(需要越獄或漏洞),也無法「恢復已刪除的檔案」。
嫌疑人攜帶一部僅使用 Wi-Fi 連線的 iPhone,該 iPhone 並無電信業者的上網服務。訊息正在從不同的同夥發送到嫌疑人的 iPhone 上。當 Wi-Fi 最終連接並接收到訊息時,這些訊息會顯示什麼時間點的時間戳?它們會保留發送時的時間嗎?還是顯示 Wi-Fi 連接時的當下接收時間?
在本次的「Tip Tuesday」節目中,Heather Mahalik 回答了這個問題:如果 UFED 推出新版本,您是否需要重新提取裝置以獲得新的資料? 觀賞完本集問答影片後可快速透過 UFED 流程,快速判斷是否需要再次提取。
在這週的「Tip Tuesdays」中,Heather Mahalik 介紹了 PA Ultra 中一個手機鑑識功能。這功能能大幅提升調查效率,就是輕鬆地匯出和匯入重點案件資料。這些實用的技巧將在您準備參與我們九月即將舉辦的 Capture The Flag (CTF) 活動時特別有幫助。
FBI 特別探員及開源行動裝置鑑識軟體開發者 Alexis Brignoni,在本集中分享如何從 GitHub 下載並使用 iLEAP(iOS)和 ALEAP(Android)。這些基於 Python 的腳本符合科學鑑證標準,專門用於分析 FFS 提取的行動裝置數據。與 Yogesh Khatri 合作開發的這些工具,為開源軟體,旨在協助驗證行動裝置數據。
近幾年,Apple 不再使用 4 位數的 PIN 碼,改為 6 位數,並且加入了不安全 PIN 碼 的黑名單制度。這些改變對於安全性有何影響?6 位數的 PIN 碼相比 4 位數的是不是更加安全?而那些被列為黑名單的 PIN 碼真的能提高安全性嗎?讓我們一探究竟。
UFED 7.64 主要更新內容包括支援 Galaxy S23 和 Pixel 7 使用 Android 14 Developer Preview 1 & 2 之完整檔案系統提取、iOS 15.7.1 ~ 15.7.3 完整檔案系統提取 (Checkm8) 、線上開通產品授權和精簡的進階邏輯提取流程。
UFED 7.62 主要更新內容,包括提取和解析更多採用 Keystore 加密功能之應用程式、瀏覽裝置檔案系統並進行選擇功能、預設將邏輯提取的 UFD 檔案採壓縮檔匯出、快速開啟技術支援、完整檔案系統 (checkm8) 提取流程改善以及新增 iOS Exit Recovery 操作選項。
Cellebrite 在 2022 年針對數位鑑識解決方案進行了多次更新。本文章是系列的第二部分,將重點介紹 Android 裝置的數位鑑識方式。Cellebrite 推出了裝置使用者授權的通用型 Android Live 提取,這是一個領先業界的功能,支援了最廣泛裝置類別與型號,適用於合法解鎖的 Android 裝置。另隨著行動裝置行業的不斷變化,軟體保持更新是一個具有挑戰性的任務,因此數位鑑識人員可透過 Smart Flow 快速正確地識別裝置並選擇正確的提取方式,以便高效地取得完整的裝置資料。
Cellebrite 的 iOS 鑑識工具現在支援更進階的邏輯檔案系統提取方法,可提取 iOS 裝置上的所有應用程式和其相關數據。這種提取方式利用裝置本身的功能,可以在解鎖的 iPhone 和 iPad 上達到快速和完整的提取。這種進階提取方法尤其對於新一代 iOS 裝置非常有用,因為它們的檔案系統使用了更複雜的加密和保護措施。 此外,Cellebrite 還支援使用 Checkm8 漏洞進行物理提取。Checkm8 漏洞是一個硬體級漏洞,可用於解鎖 iOS 設備,無需輸入密碼或採取其他解鎖措施。此方法適用於支援 Checkm8 的 iOS 裝置,可用於解鎖加密的檔案系統並提取所有數據。