iOS裝置提取方式介紹

Apple投入了大量心血在提升裝置安全性的開發，從早期的FDE到FBE，iDevices一直是鑑識領域最難攻破的一到防門。本系列文章主要著重在數位證據提取與裝置保存概念，並說明了AFU與BFU的差異，FBE檔案系統與螢幕鎖的關聯性，越獄後更多可探索的數位證據等。

1日2020 9月

iOS Keychain 同步服務加密機制探討

admin2021-02-04T23:01:26+08:002020年 9月 1日|Tags: iCloud Backup, iCloud Keychain, iOS, iTunes Backup|

Keychain 是 Apple 生態系統的主要功能之一。 Keychian 包含太多的敏感資訊，因此在 iOS 內也是受到最嚴格安全機制的保護。同時，鑑識領域對於 Keychain 的開發還相對不足。眾所周知，Keychain 包含用戶的帳號與密碼，以及支付工具的資料，如信用卡。除了以上資訊之外，Keychain 實際上還包含成千上萬個屬於各種 App 和系統的資訊，這些資訊是開啟許多其他敏感 App 內的內容所必需的鑰匙。本文章會就 Keychain，其內容、保護與同步機制方法做深入的探討。

10日2020 6月

如何使用checkra1n提取iOS檔案系統 v4

admin2021-02-04T23:03:12+08:002020年 6月 10日|Tags: checkm8, checkra1n, Extraction, iOS, Jailbreak|

checkra1n 越獄工具推出後，介於 iPhone 5s~X 之間的 iOS 裝置可輕鬆取得 Root 權限，本篇介紹如何在 Mac 與 Windows 系統下使用 SSH over USB 方式與 iOS 裝置連線，除可確保傳輸穩定與快速，也可藉由 TAR 備份指令，完整提取 iOS 檔案系統(Full File System)，並匯入PA進行分析。提取過程裝置不需連線上網，可確保提取出的資料符合科學鑑識的方式。

6日2020 5月

iPhone LINE SQLite 資料庫分析

admin2022-09-16T10:38:03+08:002020年 5月 6日|Tags: CaseStudy, iOS, LINE, sqlite|

上一篇有關 SQLite 介紹是針對 WAL 檔案的分析說明，而本篇內容會回歸到資料庫的基本架構與語法介紹，採用的資料庫範本為 iPhone 手機資料量最大的 LINE 資料庫。藉由逐步拆解 LINE 資料庫的資料表與紀錄等資訊，並透過 SQL 語法將資料庫的內容依聊天群組，訊息留言數量等條件彙整並輸出報表，可讓鑑識同仁對於資料庫的架構與資料儲存模式有基礎了解。未來若有其他 APP 尚未被 Physical Analyzer 支援，可藉由本篇介紹方式先進行初步分析，可能會取得重要證據。

30日2020 3月

如何藉由 KnowledgeC 分析使用者生活模式（二）

admin2021-02-04T23:08:53+08:002020年 3月 30日|Tags: knowledgeC, PA|

一般來說，生活模式分析（Pattern-of-Life Analysis）的定義為透過監視來紀錄或理解目標用戶的習性與行為。但如果有辦法取得目標用戶的數位紀錄，例如行動裝置上的資料，由於裝置不斷記錄用戶每日使用事件，可藉由裝置上的瀏覽紀錄，常用之 APP 等，可完整對應目標用戶實體的生活軌跡、習性、愛好等。該數據的分析不僅可以幫助重建過去的事件，更可以預測未來可能的結果。

27日2020 1月

iOS版本的Telegram深度解析

admin2021-03-25T10:14:00+08:002020年 1月 27日|Tags: CaseStudy, iOS, PA, Telegram|

Cellebrite支援Telegram資料提取與解析，以便鑑識人員深入了解犯罪嫌疑人的日常活動，包括他們的聯絡人，聊天，頻道，通話，位置，甚至是用於上鎖Telegram App的密碼。在需要明確或確鑿證據的調查過程中，取得如此大量的數位資料是無價的。

17日2019 11月

Checkm8後時代於鑑識領域的影響

admin2020-01-12T20:00:12+08:002019年 11月 17日|Tags: checkm8, iOS, Jailbreak, jb|

在數位取證領域上，iOS提取教學一直都是最短的章節，早期在沒有Passcode的情況下，還有機會透過Lockdown plist透過iTunes備份提取，但Apple在iOS11後增加了USB Restriction安全性補強，無Passcode提取的道路則越來越窄。而checkm8漏洞的推出是否有幫助數位鑑識？

27日2019 8月

如何竊取iPhone資料? iOS資料保護機制簡介

admin2021-02-04T23:10:29+08:002019年 8月 27日|Tags: Cellebrite, Extraction, FBE, iOS|

iOS裝置的資料加密機制從A7處理器後(iPhone 5S後)，不管在硬體(導入Secure Enclave)與iOS(FBE啟用)上，安全功能皆有很大的提升。本內容針對iOS Data Protection架構進行探討，閱讀完後可有初步了解竊取iPhone資料的難度!

29日2019 7月

iCloud功能與安全性介紹

admin2019-12-24T22:27:45+08:002019年 7月 29日|Tags: Cellebrite, iCloud, iOS|

iCloud的備份與同步功能隨著iOS版本更新，雲端上的內容加密保護機制也越來越完整。本篇介紹了iCloud備份與同步的差異性，啟用2FA與否在備份內容上的差別。最重的是，若取得Authentication Token是否可以從iCloud雲端上將用戶資料提取下來?

24日2019 7月

iPhone資料保存與提取步驟分析

sipher2020-04-08T16:55:45+08:002019年 7月 24日|Tags: AFU, BFU, Extraction, iOS|

我們都知道智慧手機中存儲了重要的資料，使它們成為極好的證據來源。但是，資料保存和提取並不如想像中容易。並沒有單一的方式可簡單的提取證據。在這篇文章中，我們介紹了另一個Lockdown/Pairing方式來進行提取。

19日2019 6月

如何使用iOS的屬性列表檔(plist)取得聯絡人清單

sipher2020-01-28T17:54:09+08:002019年 6月 19日|Tags: Cellebrite, iOS|

確認嫌犯手機上的聯絡人清單總是充滿著挑戰，鑑識人員在資料提取時可能會面臨到嫌犯蓄意刪除聯絡人與通聯紀錄等資料。因為有著這些變數，如何透過符合科學鑑識的方式(Forensically Sound)找出被刪除資訊，並提交數位證據給法庭當作審判的重要環節。

13日2019 6月

如何藉由 KnowledgeC 分析使用者生活模式（一）

sipher2020-10-06T10:20:10+08:002019年 6月 13日|Tags: database, iOS, sqlite|

手機已是人們生活的日常，幾乎很少遠離人們超過5公尺的距離。而本文章要深入探討iOS裝置紀錄用戶與APP行為模式資料庫、knowledgeC.db，該資料庫記錄著在使用者在手機上各種使用模式，如螢幕開關次數，電池使用情況，APP使用次數等等，紀錄的資訊比一般人想像的還更加完整。