iOS取證實(shí)戰(zhàn):調(diào)查、分析與移動(dòng)安全

前言

前言本書適用于對(duì)iPhone和其他iOS設(shè)備感興趣的讀者，尤其適合那些對(duì)設(shè)備中能恢復(fù)的存儲(chǔ)數(shù)據(jù)類型感興趣的讀者閱讀。移動(dòng)取證的需求隨著智能手機(jī)的發(fā)布在驚人地增長。隨著手機(jī)的應(yīng)用不再局限于通話功能，使得通過手機(jī)進(jìn)行的交流互動(dòng)逐漸被數(shù)據(jù)化了。當(dāng)用戶用iOS設(shè)備發(fā)送短信、查收個(gè)人或工作郵件、上網(wǎng)、管理財(cái)務(wù)，甚至照相和攝影時(shí)，他們并沒有意識(shí)到，這些數(shù)據(jù)正在被存儲(chǔ)到他們的設(shè)備上。當(dāng)刪除一條信息時(shí)，他們會(huì)認(rèn)為這些數(shù)據(jù)永遠(yuǎn)消失了。但事實(shí)上并非如此，本書不僅解釋為什么這些被刪除的數(shù)據(jù)能夠恢復(fù)，還向取證審查者提供了用于從iOS設(shè)備中提取信息的一些具體方法。本書的結(jié)構(gòu)使得讀者可以單獨(dú)專注于每一章。如果你是一名企業(yè)安全主管，僅對(duì)存儲(chǔ)在iPhone或iPad上的數(shù)據(jù)是否安全感興趣，你可以直接閱讀第4章。如果你是有經(jīng)驗(yàn)的移動(dòng)取證審查者，了解存儲(chǔ)在iPhone文件系統(tǒng)中的所有文件，但是還想學(xué)習(xí)更多的高級(jí)分析技術(shù)，那么可以跳過前面幾章，直接閱讀第6章。下面對(duì)各章內(nèi)容進(jìn)行簡要介紹。第1章是對(duì)iPhone的概述，包括iPhone發(fā)展過程中的關(guān)鍵事件時(shí)間表。詳細(xì)介紹不同的經(jīng)典iPhone型號(hào)，包括設(shè)備中的多種硬件組件。通過闡述數(shù)據(jù)采集的各種方法來介紹iPhone設(shè)備的取證獲取。這一章的結(jié)尾部分對(duì)Linux系統(tǒng)進(jìn)行了介紹，展示了在移動(dòng)設(shè)備審查中，這些命令行工具是多么強(qiáng)大。第2章介紹了多種主流iOS設(shè)備以及這些設(shè)備獨(dú)有的特性。這一章涵蓋了軟件升級(jí)、設(shè)備安全和各種操作模式的介紹、系統(tǒng)升級(jí)／降級(jí)的執(zhí)行，以及將設(shè)備啟動(dòng)至不同操作模式的方法。還將討論iTunes和iOS設(shè)備之間的交互，包括iTunes中支持iOS設(shè)備的功能。第3章討論了存儲(chǔ)在iPhone上的數(shù)據(jù)類型，以及這些數(shù)據(jù)存儲(chǔ)的格式和常規(guī)位置。這一章還詳細(xì)描述了可從iOS設(shè)備中恢復(fù)的普通文件類型，幫助檢查者了解數(shù)據(jù)是如何存儲(chǔ)的，以便他們能夠更有效地從這些文件中恢復(fù)數(shù)據(jù)。除了iPhone的操作系統(tǒng)、文件系統(tǒng)以及磁盤分區(qū)外，該章也概述了iPhone的存儲(chǔ)器類型。第4章在用戶數(shù)據(jù)保護(hù)方面為企業(yè)的移動(dòng)設(shè)備管理員提供了一些選擇。讀者可以通過Apple設(shè)備測試的過程，來確定可從這些設(shè)備中恢復(fù)的敏感數(shù)據(jù)類型。該章還涵蓋了安全移動(dòng)應(yīng)用程序的沿革，這些發(fā)展激發(fā)了從用戶及開發(fā)者角度進(jìn)行的測試。最后，這一章就設(shè)備和應(yīng)用程序安全給出了一些常規(guī)的建議，幫助用戶和管理員對(duì)公司中的設(shè)備進(jìn)行安全保護(hù)。第5章涵蓋了在iPhone、iPad和其他iOS設(shè)備上進(jìn)行取證的各種獲取方法，討論了映像取證的重要性，隨后對(duì)設(shè)備映像的不同方法進(jìn)行了說明，并詳細(xì)講解了從iPhone的備份文件中恢復(fù)數(shù)據(jù)的兩種方法。接下來介紹邏輯獲取，最后是設(shè)備的物理獲取。同時(shí)，也概述了其他可能進(jìn)行映像的iOS設(shè)備，這些設(shè)備包括iPod Touch 和Apple TV。第6章全面介紹如何對(duì)iPhone上的數(shù)據(jù)進(jìn)行分析。這一章先介紹了幾種不同的分析技術(shù)，論及一些基礎(chǔ)的方法，例如掛載磁盤映像，以及用十六進(jìn)制編輯器分析映像等高級(jí)技術(shù)。每個(gè)技術(shù)都提供了實(shí)用的腳本，審查者可自行將命令復(fù)制后執(zhí)行，這樣有助于了解所有的步驟。隨后論述了分析技術(shù)、文件系統(tǒng)的布局。在3．7節(jié)中，讀者能夠了解到每個(gè)數(shù)據(jù)類型的存儲(chǔ)位置。在這一章的結(jié)尾，是一些移動(dòng)應(yīng)用程序的參考資料。在這里，審查者能夠?yàn)g覽詳細(xì)的應(yīng)用程序列表，并且能夠從中得知每個(gè)應(yīng)用程序的數(shù)據(jù)存儲(chǔ)在哪里。第7章介紹了各種移動(dòng)取證工具的使用方法，以及它們之間的差異對(duì)比。概述涉及iPhone測試設(shè)備的數(shù)據(jù)構(gòu)造過程，詳細(xì)介紹了有關(guān)測試的方法論，然后對(duì)每個(gè)用于分析的軟件產(chǎn)品進(jìn)行概述。這一章的大部分內(nèi)容都專注于介紹使用所列工具去測試設(shè)備的審查方法。通讀學(xué)習(xí)，讀者可以一步步地學(xué)習(xí)工具的安裝、獲取和分析，在每個(gè)工具的最后都有一個(gè)列表，列表中記錄了相應(yīng)工具的研究報(bào)告。致謝當(dāng)決定合寫這本書時(shí)，我已經(jīng)充分意識(shí)到它會(huì)對(duì)我的生活產(chǎn)生一定的影響，但卻忽視了那些直接或間接被卷入其中的人。幸運(yùn)的是，我能在此對(duì)他們聊表謝意。首先要感謝的是我的家人和朋友，他們諒解我缺席了許多夜晚和周末的聚會(huì)。特別要感謝我的父親，盡管他說“Linux這東西我完全搞不懂”，但還是幫我審校了第2章。同時(shí)，要感謝我的母親，她總是鼓勵(lì)我說其實(shí)我比自認(rèn)為的要聰明得多。感謝我的弟弟Danny在我忙碌時(shí)照顧我的狗。感謝Jill，她一直鼓勵(lì)我、陪伴我，特別是當(dāng)她為我?guī)砹饲骘灪图埍案鈺r(shí)。此外，要感謝我的朋友們，他們偶爾說服我忙里偷閑地吃點(diǎn)壽司，玩玩飛鏢。感謝Marcus Rogers 博士和普度大學(xué)的數(shù)字取證項(xiàng)目，謝謝他在我準(zhǔn)備涉足這個(gè)領(lǐng)域時(shí)給予我?guī)椭约耙恢币詠頌槲姨峁I(yè)決策方面的建議。我要特別感謝viaForensics公司的同伴們，感謝大家容忍著Andrew和我的長篇大論。非常感謝Ted能夠編錄我的iPhone模擬器照片；感謝Catherine容忍我的壞脾氣；感謝Chris，即便我嘲笑他說“不可能恢復(fù)這些視頻文件”，他也從不放棄逼迫我找出分析iPhone的新方法。沒有我的合著者 Andrew Hoog的幫助，這本書就不可能完成，他讓我知道所有的指令都可以并且應(yīng)該通過命令行來完成（盡管通過GUI能夠快上10倍）。

內(nèi)容概要

iPhone和iOS取證領(lǐng)域廣受好評(píng)的經(jīng)典著作，資深取證技術(shù)專家撰寫，理論指導(dǎo)與實(shí)用性兼?zhèn)?！從iPhone和其他iOS設(shè)備的硬件設(shè)備、應(yīng)用開發(fā)環(huán)境、系統(tǒng)原理多角度剖析iOS系統(tǒng)的安全原理，結(jié)合實(shí)用開源工具和案例系統(tǒng)講解取證的技術(shù)、策略、方法和步驟。
第1章是對(duì)iPhone的概述，介紹iPhone型號(hào)、硬件組件、iPhone設(shè)備的取證采集，以及一些功能強(qiáng)大的Linux命令行。
第2章介紹運(yùn)行iOS的主流設(shè)備及其獨(dú)有特性，涵蓋操作系統(tǒng)的操作、設(shè)備安全和啟動(dòng)至不同操作模式的方法，以及iTunes和iOS設(shè)備之間的交互。
第3章討論存儲(chǔ)在iPhone上的可恢復(fù)數(shù)據(jù)類型、存儲(chǔ)的格式和常規(guī)位置，概述iPhone設(shè)備的存儲(chǔ)器類型、操作系統(tǒng)、文件系統(tǒng)以及磁盤分區(qū)。
第4章通過Apple設(shè)備測試的過程來確定能從這些設(shè)備中恢復(fù)哪些敏感數(shù)據(jù)類型，并涵蓋安全移動(dòng)應(yīng)用程序的沿革，以及對(duì)設(shè)備和應(yīng)用程序安全的一些常規(guī)建議。
第5章涵蓋可在iOS設(shè)備上執(zhí)行的各種邏輯獲取和物理獲取方法，并概述其他可映像的iOS設(shè)備。
第6章介紹iPhone上的數(shù)據(jù)分析技術(shù)，涵蓋基礎(chǔ)技術(shù)（如掛載磁盤映像）以及用十六進(jìn)制編輯器分析映像的高級(jí)技術(shù)，并全部提供實(shí)用的腳本供審查者實(shí)踐，隨后論及分析技術(shù)、文件系統(tǒng)的設(shè)計(jì)和各數(shù)據(jù)類型的存儲(chǔ)位置。
第7章介紹各種移動(dòng)取證工具的使用方法及其差異對(duì)比，包括iPhone測試數(shù)據(jù)構(gòu)造、測試方法論，尤為重要的是，該章介紹12個(gè)取證工具的安裝、取證和分析，并給出測試步驟和調(diào)查報(bào)告。

作者簡介

作者：（美國）Andrew Hoog （美國）Katie Strzempka 譯者：彭莉娟 劉琛梅 趙劍Andrew Hoog，計(jì)算機(jī)科學(xué)家、Android取證領(lǐng)域的頂級(jí)專家、認(rèn)證的取證分析師（GCFA和CCE）、計(jì)算機(jī)和移動(dòng)取證研究員，是viaForensics（一家創(chuàng)新型的計(jì)算機(jī)和移動(dòng)取證公司）的所有者。電臺(tái)因他寫作計(jì)算機(jī)／移動(dòng)取證指南方面的內(nèi)容而做專門采訪，他還經(jīng)常應(yīng)邀在各知名安全大會(huì)上進(jìn)行演講。他致力于培養(yǎng)計(jì)算機(jī)和移動(dòng)取證學(xué)科人才，引導(dǎo)并開展專家級(jí)的培訓(xùn)課程，并受邀為企業(yè)和執(zhí)法機(jī)構(gòu)授課和培訓(xùn)。Katie Strzempka，viaForensics公司技術(shù)顧問，致力于取證研究、安全的審計(jì)和調(diào)查，是《iPhone取證》白皮書的合著者，也是各類iPhone取證商業(yè)工具的研究者。她曾在財(cái)富500強(qiáng)公司從事了3年的信息安全工作，負(fù)責(zé)防火墻管理并協(xié)助內(nèi)網(wǎng)和外網(wǎng)連接工作。她在普度大學(xué)接受過數(shù)字取證、計(jì)算機(jī)和信息技術(shù)方面的教育多年，而今她為世界各地培養(yǎng)了大量移動(dòng)取證研究人員。

書籍目錄

譯者序前言第1章 概述11.1 介紹11.1.1 策略11.1.2 開發(fā)者社區(qū)21.2 iPhone型號(hào)41.3 取證審查方法81.3.1 iPhone取證技術(shù)分級(jí)91.3.2 取證獲取類型111.3.3 使用Linux取證131.4 小結(jié)271.5 參考文獻(xiàn)28第2章 設(shè)備特性和功能292.1 介紹292.2 Apple設(shè)備概述292.3 操作模式302.3.1 基本模式312.3.2 恢復(fù)模式312.3.3 DFU模式312.3.4 退出恢復(fù)/DFU模式342.4 安全352.4.1 設(shè)備設(shè)置352.4.2 安全擦除362.4.3 應(yīng)用程序安全362.5 與iTunes的交互372.5.1 設(shè)備同步372.5.2 iPhone備份372.5.3 iPhone還原382.5.4 iPhone iOS更新382.5.5 應(yīng)用商店432.5.6 MobileMe432.6 小結(jié)432.7 參考資料43第3章 文件系統(tǒng)和數(shù)據(jù)存儲(chǔ)453.1 介紹453.2 可恢復(fù)的數(shù)據(jù)453.3 數(shù)據(jù)存儲(chǔ)位置463.4 數(shù)據(jù)存儲(chǔ)方式483.4.1 內(nèi)部存儲(chǔ)493.4.2 SQLite 數(shù)據(jù)庫文件503.4.3 屬性列表513.4.4 網(wǎng)絡(luò)543.5 存儲(chǔ)器類型543.5.1 RAM543.5.2 NAND閃存553.6 iPhone操作系統(tǒng)583.7 文件系統(tǒng)593.7.1 卷613.7.2 日志623.7.3 iPhone磁盤分區(qū)623.8 小結(jié)633.9 參考文獻(xiàn)63第4章 iPhone和iPad的數(shù)據(jù)安全654.1 介紹654.2 數(shù)據(jù)安全和測試654.2.1 美國計(jì)算機(jī)犯罪法664.2.2 由管理員負(fù)責(zé)的數(shù)據(jù)保護(hù)674.2.3 安全測試過程704.3 應(yīng)用程序安全764.3.1 移動(dòng)應(yīng)用程序的企業(yè)或個(gè)人客戶774.3.2 公司或個(gè)人移動(dòng)應(yīng)用開發(fā)者794.3.3 應(yīng)用開發(fā)者的安全策略794.4 對(duì)設(shè)備和應(yīng)用的安全建議844.5 小結(jié)854.6 參考文獻(xiàn)85第5章 取證獲取875.1 介紹875.2 iPhone取證概述875.2.1 調(diào)查類型875.2.2 邏輯技術(shù)和物理技術(shù)的區(qū)別885.2.3 目標(biāo)設(shè)備的修改885.3 處理證據(jù)905.3.1 密碼處理905.3.2 網(wǎng)絡(luò)隔離915.3.3 關(guān)閉的設(shè)備915.4 映像iPhone/iPad915.4.1 備份獲取915.4.2 邏輯獲取975.4.3 物理獲取975.5 映像其他Apple設(shè)備1085.5.1 iPad1085.5.2 iPod Touch1095.5.3 Apple TV1095.6 小結(jié)1095.7 參考文獻(xiàn)109第6章 數(shù)據(jù)和應(yīng)用程序分析1116.1 介紹1116.2 分析技術(shù)1116.2.1 掛載磁盤映像1116.2.2 文件雕復(fù)1126.2.3 strings1176.2.4 時(shí)間表創(chuàng)建及分析1196.2.5 取證分析1256.3 iPhone數(shù)據(jù)存儲(chǔ)位置1306.3.1 默認(rèn)應(yīng)用程序1316.3.2 下載的應(yīng)用程序1376.3.3 其他相關(guān)數(shù)據(jù)1406.4 iPhone應(yīng)用程序分析和參考1476.4.1 默認(rèn)應(yīng)用程序1476.4.2 下載的第三方應(yīng)用程序1676.5 小結(jié)1756.6 參考文獻(xiàn)175第7章 商用工具測試1767.1 介紹1767.2 數(shù)據(jù)構(gòu)造1767.3 分析方法1797.4 CelleBrite UFED1817.4.1 安裝1827.4.2 取證獲取1827.4.3 結(jié)果和報(bào)告1837.5 iXAM1887.5.1 安裝1897.5.2 取證獲取1897.5.3 結(jié)果和報(bào)告1917.6 Oxygen Forgensic Suite20101937.6.1 安裝1957.6.2 取證獲取1957.6.3 結(jié)果和報(bào)告1967.7 XRY1997.7.1 安裝2007.7.2 取證獲取2007.7.3 結(jié)果和報(bào)告2007.8 Lantern2047.8.1 安裝2057.8.2 取證獲取2057.8.3 結(jié)果和報(bào)告2067.9 MacLock Pick2087.9.1 安裝2097.9.2 取證獲取2107.9.3 結(jié)果和報(bào)告2107.10 Mobilyze2117.10.1 安裝2127.10.2 取證獲取2127.10.3 結(jié)果和報(bào)告2137.11 Zdziarski技術(shù)2157.11.1 安裝2177.11.2 取證獲取2187.11.3 結(jié)果和報(bào)告2187.12 Paraben Device Seizure2207.12.1 安裝2227.12.2 取證獲取2227.12.3 結(jié)果和報(bào)告2237.13 MobileSyncBrowser2267.13.1 安裝2267.13.2 取證獲取2267.13.3 結(jié)果和報(bào)告2267.14 CellDEK2287.14.1 安裝2297.14.2 取證獲取2297.14.3 結(jié)果和報(bào)告2297.15 EnCase Neutrino2327.15.1 安裝2327.15.2 取證獲取2327.15.3 結(jié)果和報(bào)告2337.16 iPhone Analyzer2357.16.1 安裝2367.16.2 取證獲得2377.16.3 結(jié)果和報(bào)告2377.17 小結(jié)2397.18 參考文獻(xiàn)240附錄A iTunes備份位置241附錄B 分析常規(guī)文件和數(shù)據(jù)類型的工具242附錄C iPhone文件系統(tǒng)243

編輯推薦

《iOS取證實(shí)戰(zhàn):調(diào)查、分析與移動(dòng)安全》編輯推薦：iPhone和iOS取證領(lǐng)域廣受好評(píng)的經(jīng)典著作，資深取證技術(shù)專家撰寫，理論指導(dǎo)與實(shí)用性兼?zhèn)?！從iPhone和其他iOS設(shè)備的硬件設(shè)備、應(yīng)用開發(fā)環(huán)境、系統(tǒng)原理多角度剖析iOS系統(tǒng)的安全原理，結(jié)合實(shí)用開源工具和案例系統(tǒng)講解取證的技術(shù)、策略、方法和步驟。

圖書封面

圖書標(biāo)簽Tags

無

評(píng)論、評(píng)分、閱讀與下載

---

    iOS取證實(shí)戰(zhàn):調(diào)查、分析與移動(dòng)安全 PDF格式下載

---