PA 7.58 – iOS 新解析功能升級

官方部落格文章

2022-12-28 by 高田鑑識

在 Cellebrite,我們的目標是解析最新的數位檔案、應用程式和作業系統版本。如果您是行動裝置鑑識人員,您知道這並非一件容易的事,因為一切都在持續變化與更新。本文章將介紹在 PA 7.57 和 7.58 中為 iOS 裝置新增的解析功能。Physical Analyzer 每次更新都會有新功能改進,使您的鑑識過程更加簡單。

本內容會涵蓋的主題為:

  • FindMy
  • iOS Hidden Photos (隱藏的照片)
  • iOS 16 編輯與取消傳送之訊息

FindMy

在數位鑑識調查過程,iOS 裝置的 FindMy 數位檔案可能隱藏額外的關鍵資訊。Physical Analyzer 現在支援解析這些數位檔案,包括帳號、裝置、位置等。以上資料來源包括已連接的裝置,如 AirTags、AirPods、Macs 等。當您檢視這些數位資料的原始檔案時,它的來源檔案為 /private/var/mobile/Library/Caches/com.apple.findmy.fmipcore。

FindMy

圖一、FindMy

iOS Hidden Photos

PA 新的解析功能很多時候是來自使用單位的需求。最近有使用單位提出需過濾用戶在 iOS 裝置上隱藏的照片或影片。此功能在每週提示(Tip Tues)中被提及,並在 Physical Analyzer 7.58 版本後提供。要使用此功能,您必須在搜尋框輸入 「hidden by user」字串。

圖二、搜尋用戶隱藏的照片

接下來,使用 PA 的搜尋功能,輸入 「hidden by user」,可從搜尋結果取得用戶在他們的 iOS 裝置上隱藏的照片或影片的完整列表。

用戶隱藏照片

圖三、用戶隱藏照片清單

當您找到可疑的照片時,選擇檔案來源 (Source File)。藉由檔案來源來驗證並理解 PA 的解析方式。

圖四、透過檔案來源查看可疑照片內容

最後透過 PA 的「File Info」分頁來驗證資料是否被使用者隱藏。

Hidden By User

圖五、File Info 分頁

隱藏的照片可能有重要證據,因為這是裝置使用者的刻意行為。 Heather 編寫了一個 SQLite 查詢語法,可對 photos.sqlite 資料庫查詢並列出隱藏的照片與影片。 建議可在 PA 的 SQLite 精靈建立查詢範本,供未來再次使用,或使用 DB Browser for SQLite 將匯出的 photos.sqlite 檔案貼上以下查詢指令。

iOS 14 – iOS 16 – 顯示隱藏照片

複製

iOS 13 以下 – 顯示隱藏照片

複製

iOS16 編輯與取消傳送之訊息

若收發簡訊雙方皆使用 iOS 16 以上版本裝置,新版本的作業系統提供了簡訊編輯和取消傳送(收回訊息)的功能。當 Physical Analyzer 解析 sms.db 時,在資料表 chat,欄位 date_edited,可解析出新的「Edited 」和 「Recalled」的時間戳記值。從 PA 所解析的資料 (如下圖),在 Lable 欄位下「Edited 」代表該訊息曾經被發送者編輯過,而「Recalled」代表該訊息已被發送者收回。

另外,根據 Apple 的文章,發送者只有 2 分鐘的時間可收回訊息,並可在 15 分鐘內最多編輯五次原始訊息,超過時間後針對該訊息的取消傳送與編輯功能則會消失。此外,不僅僅是取消傳送 (Recalled) 的訊息,Physical Analyzer 發現訊息被刪除後,會針對已知的刪除訊息另新增一個「Deletion Date 」值。

SMS

圖六、新增訊息刪除日期的值

對於取消傳送的訊息(Recalled),PA 是無法恢復訊息內容或其附件。而編輯的訊息則可透過 Physical Analyzer 使用 「Go To」按鈕查看編輯的歷史記錄。

在下面的例子中,該訊息被編輯了 3 次,鑑識人員將會看到 4 筆記錄(其中 3 筆記錄在 label 欄位會顯示為 “edited”)。在 「edited」訊息上的時間戳記是用戶修改或更改訊息的時間。除了最後一筆被編輯的訊息外,其餘的已編輯訊息(包括一開始的原始訊息)在 Physical Analyzer 中將會顯示為 「deleted」。

如果我們查看下面的訊息,箭頭指向之前的訊息(編輯之前)。這些訊息將被標註為垃圾桶圖標(實質上被標記為已刪除,因為它被使用者編輯過內容)。

編輯的訊息

圖七、編輯過的訊息有垃圾桶符號

最後一個版本的訊息為完整訊息,代表未被編輯或取消傳送的版本。利用 Physical Analyzer 中的 「Go To」按鈕,可以輕鬆地跳轉到該訊息所有的歷史編輯版本。

Go-To

圖八、查看所有的訊息修改歷程

要進一步瞭解 iOS 16 中取消傳送和編輯功能的資訊,可參閱 Ian Whiffin 在此主題所發布的部落格文章:https://www.doubleblak.com/blogPosts.php?id=27

連接

官方文章

Physical Analyzer 7.58 – iOS Features and Parsing Enhancements for Mobile Device Forensics
連接