iOS2020-01-04T15:24:15+08:00

iOS裝置提取方式介紹

Apple投入了大量心血在提升裝置安全性的開發,從早期的FDE到FBE,iDevices一直是鑑識領域最難攻破的一到防門。本系列文章主要著重在數位證據提取與裝置保存概念,並說明了AFU與BFU的差異,FBE檔案系統與螢幕鎖的關聯性,越獄後更多可探索的數位證據等。

10Jun, 2020

如何使用checkra1n提取iOS檔案系統 v3

June 10th, 2020|Tags: , , , , |

checkra1n 越獄工具推出後,介於 iPhone 5s~X 之間的 iOS 裝置可輕鬆取得 Root 權限,本篇介紹如何在 Mac 與 Windows 系統下使用 SSH over USB 方式與 iOS 裝置連線,除可確保傳輸穩定與快速,也可藉由 TAR 備份指令,完整提取 iOS 檔案系統(Full File System),並匯入PA進行分析。提取過程裝置不需連線上網,可確保提取出的資料符合科學鑑識的方式。

30Mar, 2020

如何藉由 KnowledgeC 分析使用者生活模式(二)

March 30th, 2020|Tags: , |

一般來說,生活模式分析(Pattern-of-Life Analysis)的定義為透過監視來紀錄或理解目標用戶的習性與行為。 但如果有辦法取得目標用戶的數位紀錄,例如行動裝置上的資料,由於裝置不斷記錄用戶每日使用事件,可藉由裝置上的瀏覽紀錄,常用之 APP 等,可完整對應目標用戶實體的生活軌跡、習性、愛好等。該數據的分析不僅可以幫助重建過去的事件,更可以預測未來可能的結果。

15Feb, 2020

iOS SQLite WAL 檔案深度分析

February 15th, 2020|Tags: , , |

iOS 檔案系統採用 File Based Encryption(FBE) 加密的機制,當任一個檔案刪除後,位於該檔案 metadata 內的 File Key 金鑰也被刪除,即使採用物理提取也無法恢復檔案內容。但採用 FFS 提取 iPhone 5S – iPhone X 裝置後,透過 PA 解析開始又出現已刪除的資料,包含 Telegram, LINE 與網頁搜尋紀錄等等,為什麼 PA 上再次呈現已刪除的資訊?

17Nov, 2019

Checkm8後時代於鑑識領域的影響

November 17th, 2019|Tags: , , , |

在數位取證領域上,iOS提取教學一直都是最短的章節,早期在沒有Passcode的情況下,還有機會透過Lockdown plist透過iTunes備份提取,但Apple在iOS11後增加了USB Restriction安全性補強,無Passcode提取的道路則越來越窄。而checkm8漏洞的推出是否有幫助數位鑑識?

29Jul, 2019

iCloud功能與安全性介紹

July 29th, 2019|Tags: , , |

iCloud的備份與同步功能隨著iOS版本更新,雲端上的內容加密保護機制也越來越完整。本篇介紹了iCloud備份與同步的差異性,啟用2FA與否在備份內容上的差別。最重的是,若取得Authentication Token是否可以從iCloud雲端上將用戶資料提取下來?