iOS取證實戰(zhàn):調查、分析與移動安全

前言

前言本書適用于對iPhone和其他iOS設備感興趣的讀者，尤其適合那些對設備中能恢復的存儲數(shù)據(jù)類型感興趣的讀者閱讀。移動取證的需求隨著智能手機的發(fā)布在驚人地增長。隨著手機的應用不再局限于通話功能，使得通過手機進行的交流互動逐漸被數(shù)據(jù)化了。當用戶用iOS設備發(fā)送短信、查收個人或工作郵件、上網(wǎng)、管理財務，甚至照相和攝影時，他們并沒有意識到，這些數(shù)據(jù)正在被存儲到他們的設備上。當刪除一條信息時，他們會認為這些數(shù)據(jù)永遠消失了。但事實上并非如此，本書不僅解釋為什么這些被刪除的數(shù)據(jù)能夠恢復，還向取證審查者提供了用于從iOS設備中提取信息的一些具體方法。本書的結構使得讀者可以單獨專注于每一章。如果你是一名企業(yè)安全主管，僅對存儲在iPhone或iPad上的數(shù)據(jù)是否安全感興趣，你可以直接閱讀第4章。如果你是有經(jīng)驗的移動取證審查者，了解存儲在iPhone文件系統(tǒng)中的所有文件，但是還想學習更多的高級分析技術，那么可以跳過前面幾章，直接閱讀第6章。下面對各章內(nèi)容進行簡要介紹。第1章是對iPhone的概述，包括iPhone發(fā)展過程中的關鍵事件時間表。詳細介紹不同的經(jīng)典iPhone型號，包括設備中的多種硬件組件。通過闡述數(shù)據(jù)采集的各種方法來介紹iPhone設備的取證獲取。這一章的結尾部分對Linux系統(tǒng)進行了介紹，展示了在移動設備審查中，這些命令行工具是多么強大。第2章介紹了多種主流iOS設備以及這些設備獨有的特性。這一章涵蓋了軟件升級、設備安全和各種操作模式的介紹、系統(tǒng)升級／降級的執(zhí)行，以及將設備啟動至不同操作模式的方法。還將討論iTunes和iOS設備之間的交互，包括iTunes中支持iOS設備的功能。第3章討論了存儲在iPhone上的數(shù)據(jù)類型，以及這些數(shù)據(jù)存儲的格式和常規(guī)位置。這一章還詳細描述了可從iOS設備中恢復的普通文件類型，幫助檢查者了解數(shù)據(jù)是如何存儲的，以便他們能夠更有效地從這些文件中恢復數(shù)據(jù)。除了iPhone的操作系統(tǒng)、文件系統(tǒng)以及磁盤分區(qū)外，該章也概述了iPhone的存儲器類型。第4章在用戶數(shù)據(jù)保護方面為企業(yè)的移動設備管理員提供了一些選擇。讀者可以通過Apple設備測試的過程，來確定可從這些設備中恢復的敏感數(shù)據(jù)類型。該章還涵蓋了安全移動應用程序的沿革，這些發(fā)展激發(fā)了從用戶及開發(fā)者角度進行的測試。最后，這一章就設備和應用程序安全給出了一些常規(guī)的建議，幫助用戶和管理員對公司中的設備進行安全保護。第5章涵蓋了在iPhone、iPad和其他iOS設備上進行取證的各種獲取方法，討論了映像取證的重要性，隨后對設備映像的不同方法進行了說明，并詳細講解了從iPhone的備份文件中恢復數(shù)據(jù)的兩種方法。接下來介紹邏輯獲取，最后是設備的物理獲取。同時，也概述了其他可能進行映像的iOS設備，這些設備包括iPod Touch 和Apple TV。第6章全面介紹如何對iPhone上的數(shù)據(jù)進行分析。這一章先介紹了幾種不同的分析技術，論及一些基礎的方法，例如掛載磁盤映像，以及用十六進制編輯器分析映像等高級技術。每個技術都提供了實用的腳本，審查者可自行將命令復制后執(zhí)行，這樣有助于了解所有的步驟。隨后論述了分析技術、文件系統(tǒng)的布局。在3．7節(jié)中，讀者能夠了解到每個數(shù)據(jù)類型的存儲位置。在這一章的結尾，是一些移動應用程序的參考資料。在這里，審查者能夠瀏覽詳細的應用程序列表，并且能夠從中得知每個應用程序的數(shù)據(jù)存儲在哪里。第7章介紹了各種移動取證工具的使用方法，以及它們之間的差異對比。概述涉及iPhone測試設備的數(shù)據(jù)構造過程，詳細介紹了有關測試的方法論，然后對每個用于分析的軟件產(chǎn)品進行概述。這一章的大部分內(nèi)容都專注于介紹使用所列工具去測試設備的審查方法。通讀學習，讀者可以一步步地學習工具的安裝、獲取和分析，在每個工具的最后都有一個列表，列表中記錄了相應工具的研究報告。致謝當決定合寫這本書時，我已經(jīng)充分意識到它會對我的生活產(chǎn)生一定的影響，但卻忽視了那些直接或間接被卷入其中的人。幸運的是，我能在此對他們聊表謝意。首先要感謝的是我的家人和朋友，他們諒解我缺席了許多夜晚和周末的聚會。特別要感謝我的父親，盡管他說“Linux這東西我完全搞不懂”，但還是幫我審校了第2章。同時，要感謝我的母親，她總是鼓勵我說其實我比自認為的要聰明得多。感謝我的弟弟Danny在我忙碌時照顧我的狗。感謝Jill，她一直鼓勵我、陪伴我，特別是當她為我?guī)砹饲骘灪图埍案鈺r。此外，要感謝我的朋友們，他們偶爾說服我忙里偷閑地吃點壽司，玩玩飛鏢。感謝Marcus Rogers 博士和普度大學的數(shù)字取證項目，謝謝他在我準備涉足這個領域時給予我?guī)椭约耙恢币詠頌槲姨峁I(yè)決策方面的建議。我要特別感謝viaForensics公司的同伴們，感謝大家容忍著Andrew和我的長篇大論。非常感謝Ted能夠編錄我的iPhone模擬器照片；感謝Catherine容忍我的壞脾氣；感謝Chris，即便我嘲笑他說“不可能恢復這些視頻文件”，他也從不放棄逼迫我找出分析iPhone的新方法。沒有我的合著者 Andrew Hoog的幫助，這本書就不可能完成，他讓我知道所有的指令都可以并且應該通過命令行來完成（盡管通過GUI能夠快上10倍）。

內(nèi)容概要

iPhone和iOS取證領域廣受好評的經(jīng)典著作，資深取證技術專家撰寫，理論指導與實用性兼?zhèn)?！從iPhone和其他iOS設備的硬件設備、應用開發(fā)環(huán)境、系統(tǒng)原理多角度剖析iOS系統(tǒng)的安全原理，結合實用開源工具和案例系統(tǒng)講解取證的技術、策略、方法和步驟。
第1章是對iPhone的概述，介紹iPhone型號、硬件組件、iPhone設備的取證采集，以及一些功能強大的Linux命令行。
第2章介紹運行iOS的主流設備及其獨有特性，涵蓋操作系統(tǒng)的操作、設備安全和啟動至不同操作模式的方法，以及iTunes和iOS設備之間的交互。
第3章討論存儲在iPhone上的可恢復數(shù)據(jù)類型、存儲的格式和常規(guī)位置，概述iPhone設備的存儲器類型、操作系統(tǒng)、文件系統(tǒng)以及磁盤分區(qū)。
第4章通過Apple設備測試的過程來確定能從這些設備中恢復哪些敏感數(shù)據(jù)類型，并涵蓋安全移動應用程序的沿革，以及對設備和應用程序安全的一些常規(guī)建議。
第5章涵蓋可在iOS設備上執(zhí)行的各種邏輯獲取和物理獲取方法，并概述其他可映像的iOS設備。
第6章介紹iPhone上的數(shù)據(jù)分析技術，涵蓋基礎技術（如掛載磁盤映像）以及用十六進制編輯器分析映像的高級技術，并全部提供實用的腳本供審查者實踐，隨后論及分析技術、文件系統(tǒng)的設計和各數(shù)據(jù)類型的存儲位置。
第7章介紹各種移動取證工具的使用方法及其差異對比，包括iPhone測試數(shù)據(jù)構造、測試方法論，尤為重要的是，該章介紹12個取證工具的安裝、取證和分析，并給出測試步驟和調查報告。

作者簡介

作者：（美國）Andrew Hoog （美國）Katie Strzempka 譯者：彭莉娟 劉琛梅 趙劍Andrew Hoog，計算機科學家、Android取證領域的頂級專家、認證的取證分析師（GCFA和CCE）、計算機和移動取證研究員，是viaForensics（一家創(chuàng)新型的計算機和移動取證公司）的所有者。電臺因他寫作計算機／移動取證指南方面的內(nèi)容而做專門采訪，他還經(jīng)常應邀在各知名安全大會上進行演講。他致力于培養(yǎng)計算機和移動取證學科人才，引導并開展專家級的培訓課程，并受邀為企業(yè)和執(zhí)法機構授課和培訓。Katie Strzempka，viaForensics公司技術顧問，致力于取證研究、安全的審計和調查，是《iPhone取證》白皮書的合著者，也是各類iPhone取證商業(yè)工具的研究者。她曾在財富500強公司從事了3年的信息安全工作，負責防火墻管理并協(xié)助內(nèi)網(wǎng)和外網(wǎng)連接工作。她在普度大學接受過數(shù)字取證、計算機和信息技術方面的教育多年，而今她為世界各地培養(yǎng)了大量移動取證研究人員。

書籍目錄

譯者序前言第1章 概述11.1 介紹11.1.1 策略11.1.2 開發(fā)者社區(qū)21.2 iPhone型號41.3 取證審查方法81.3.1 iPhone取證技術分級91.3.2 取證獲取類型111.3.3 使用Linux取證131.4 小結271.5 參考文獻28第2章 設備特性和功能292.1 介紹292.2 Apple設備概述292.3 操作模式302.3.1 基本模式312.3.2 恢復模式312.3.3 DFU模式312.3.4 退出恢復/DFU模式342.4 安全352.4.1 設備設置352.4.2 安全擦除362.4.3 應用程序安全362.5 與iTunes的交互372.5.1 設備同步372.5.2 iPhone備份372.5.3 iPhone還原382.5.4 iPhone iOS更新382.5.5 應用商店432.5.6 MobileMe432.6 小結432.7 參考資料43第3章 文件系統(tǒng)和數(shù)據(jù)存儲453.1 介紹453.2 可恢復的數(shù)據(jù)453.3 數(shù)據(jù)存儲位置463.4 數(shù)據(jù)存儲方式483.4.1 內(nèi)部存儲493.4.2 SQLite 數(shù)據(jù)庫文件503.4.3 屬性列表513.4.4 網(wǎng)絡543.5 存儲器類型543.5.1 RAM543.5.2 NAND閃存553.6 iPhone操作系統(tǒng)583.7 文件系統(tǒng)593.7.1 卷613.7.2 日志623.7.3 iPhone磁盤分區(qū)623.8 小結633.9 參考文獻63第4章 iPhone和iPad的數(shù)據(jù)安全654.1 介紹654.2 數(shù)據(jù)安全和測試654.2.1 美國計算機犯罪法664.2.2 由管理員負責的數(shù)據(jù)保護674.2.3 安全測試過程704.3 應用程序安全764.3.1 移動應用程序的企業(yè)或個人客戶774.3.2 公司或個人移動應用開發(fā)者794.3.3 應用開發(fā)者的安全策略794.4 對設備和應用的安全建議844.5 小結854.6 參考文獻85第5章 取證獲取875.1 介紹875.2 iPhone取證概述875.2.1 調查類型875.2.2 邏輯技術和物理技術的區(qū)別885.2.3 目標設備的修改885.3 處理證據(jù)905.3.1 密碼處理905.3.2 網(wǎng)絡隔離915.3.3 關閉的設備915.4 映像iPhone/iPad915.4.1 備份獲取915.4.2 邏輯獲取975.4.3 物理獲取975.5 映像其他Apple設備1085.5.1 iPad1085.5.2 iPod Touch1095.5.3 Apple TV1095.6 小結1095.7 參考文獻109第6章 數(shù)據(jù)和應用程序分析1116.1 介紹1116.2 分析技術1116.2.1 掛載磁盤映像1116.2.2 文件雕復1126.2.3 strings1176.2.4 時間表創(chuàng)建及分析1196.2.5 取證分析1256.3 iPhone數(shù)據(jù)存儲位置1306.3.1 默認應用程序1316.3.2 下載的應用程序1376.3.3 其他相關數(shù)據(jù)1406.4 iPhone應用程序分析和參考1476.4.1 默認應用程序1476.4.2 下載的第三方應用程序1676.5 小結1756.6 參考文獻175第7章 商用工具測試1767.1 介紹1767.2 數(shù)據(jù)構造1767.3 分析方法1797.4 CelleBrite UFED1817.4.1 安裝1827.4.2 取證獲取1827.4.3 結果和報告1837.5 iXAM1887.5.1 安裝1897.5.2 取證獲取1897.5.3 結果和報告1917.6 Oxygen Forgensic Suite20101937.6.1 安裝1957.6.2 取證獲取1957.6.3 結果和報告1967.7 XRY1997.7.1 安裝2007.7.2 取證獲取2007.7.3 結果和報告2007.8 Lantern2047.8.1 安裝2057.8.2 取證獲取2057.8.3 結果和報告2067.9 MacLock Pick2087.9.1 安裝2097.9.2 取證獲取2107.9.3 結果和報告2107.10 Mobilyze2117.10.1 安裝2127.10.2 取證獲取2127.10.3 結果和報告2137.11 Zdziarski技術2157.11.1 安裝2177.11.2 取證獲取2187.11.3 結果和報告2187.12 Paraben Device Seizure2207.12.1 安裝2227.12.2 取證獲取2227.12.3 結果和報告2237.13 MobileSyncBrowser2267.13.1 安裝2267.13.2 取證獲取2267.13.3 結果和報告2267.14 CellDEK2287.14.1 安裝2297.14.2 取證獲取2297.14.3 結果和報告2297.15 EnCase Neutrino2327.15.1 安裝2327.15.2 取證獲取2327.15.3 結果和報告2337.16 iPhone Analyzer2357.16.1 安裝2367.16.2 取證獲得2377.16.3 結果和報告2377.17 小結2397.18 參考文獻240附錄A iTunes備份位置241附錄B 分析常規(guī)文件和數(shù)據(jù)類型的工具242附錄C iPhone文件系統(tǒng)243

編輯推薦

《iOS取證實戰(zhàn):調查、分析與移動安全》編輯推薦：iPhone和iOS取證領域廣受好評的經(jīng)典著作，資深取證技術專家撰寫，理論指導與實用性兼?zhèn)?！從iPhone和其他iOS設備的硬件設備、應用開發(fā)環(huán)境、系統(tǒng)原理多角度剖析iOS系統(tǒng)的安全原理，結合實用開源工具和案例系統(tǒng)講解取證的技術、策略、方法和步驟。

圖書封面

圖書標簽Tags

無

評論、評分、閱讀與下載

---

    iOS取證實戰(zhàn):調查、分析與移動安全 PDF格式下載

---