iOS取證分析

內(nèi)容概要

本書介紹了針對(duì)蘋果公司iPhone、iPad和iPod
Touch設(shè)備的取證調(diào)查步驟、方法和工具，主要內(nèi)容包括蘋果移動(dòng)設(shè)備的歷史、iOS操作系統(tǒng)和文件系統(tǒng)分析、搜索與獲取及時(shí)間響應(yīng)、iPhone邏輯獲取、邏輯數(shù)據(jù)分析、Mac和Windows計(jì)算機(jī)中的證據(jù)、地址位置信息分析、媒體注入與分析、網(wǎng)絡(luò)分析等。本書中介紹的取證步驟和方法在美國(guó)是可以被法庭所接受的。本書適合計(jì)算機(jī)取證專業(yè)人士、執(zhí)法人員、律師、安全專家，以及對(duì)此感興趣的人員和教育工作者閱讀。本書也可供執(zhí)法培訓(xùn)機(jī)構(gòu)，以及開(kāi)設(shè)有計(jì)算機(jī)取證、信息安全和電子物證等相關(guān)專業(yè)的高等院校作為教材使用。

作者簡(jiǎn)介

作者:(美)Morrissey

書籍目錄

第1章 蘋果移動(dòng)設(shè)備的歷史1
1.1 iPod2
1.2 iPhone的演變2
1.2.1 ROCKR2
1.2.2 蘋果iPhone 2G簡(jiǎn)介3
1.2.3 3G的iPhone4
1.2.4 iPhone 3G[S]5
1.2.5 iPhone 46
1.3 蘋果iPad6
1.4 內(nèi)部構(gòu)造：iPhone和iPad
的硬件7
1.4.1 2G版iPhone的內(nèi)部構(gòu)造7
1.4.2 iPhone 3G的內(nèi)部構(gòu)造9
1.4.3 iPhone 3GS內(nèi)部構(gòu)造11
1.4.4 iPhone 4的內(nèi)部構(gòu)造12
1.4.5 iPad 內(nèi)部構(gòu)件13
1.5 蘋果App Store應(yīng)用程序商店15
1.6 iPhone黑客的興起18
1.7 小結(jié)18
第2章 iOS操作系統(tǒng)和文件系統(tǒng)分析19
2.1 iOS特性的演變19
2.1.1 iOS 119
2.1.2 iOS 221
2.1.3 iOS 322
2.1.4 iOS 423
2.2 應(yīng)用軟件的發(fā)展25
2.3 iOS文件系統(tǒng)26
2.3.1 HFS+ 文件系統(tǒng)26
2.3.2 HFSX28
2.4 iPhone分區(qū)和卷信息28
2.4.1 OS分區(qū)31
2.4.2 iOS系統(tǒng)分區(qū)32
2.4.3 iOS數(shù)據(jù)分區(qū)35
2.5 SQLite數(shù)據(jù)庫(kù)37
2.5.1 通訊錄數(shù)據(jù)庫(kù)37
2.5.2 短信數(shù)據(jù)庫(kù)37
2.5.3 通話記錄數(shù)據(jù)庫(kù)38
2.6 分析數(shù)據(jù)庫(kù)38
2.6.1 提取SQLite 數(shù)據(jù)庫(kù)中的數(shù)據(jù)39
2.6.2 Plist 屬性列表文件45
2.6.3 查看Plist屬性列表文件45
2.7 小結(jié)48
第3章 搜索、獲取和事件響應(yīng)49
3.1 美國(guó)憲法第四修正案50
3.2 通過(guò)手機(jī)追蹤51
3.3 逮捕中的手機(jī)搜查51
3.4 技術(shù)進(jìn)步和蘋果iPhone52
3.5 如何搜查蘋果設(shè)備53
3.6 隔離設(shè)備56
3.7 開(kāi)機(jī)口令57
3.8 識(shí)別越獄的iPhone58
3.9 收集iPhone中的信息59
3.10 對(duì)iPhone連接過(guò)的Mac/
Windows計(jì)算機(jī)進(jìn)行響應(yīng)61
3.11 小結(jié)62
3.12 參考文獻(xiàn)62
第4章 iPhone邏輯獲取64
4.1 從iPhone、iPod Touch、iPad
中獲取數(shù)據(jù)64
4.1.1 使用mdhelper軟件獲取數(shù)據(jù)65
4.2 可用的工具和軟件68
4.2.1 Lantern68
4.2.2 Susteen Secure View 282
4.2.3 Paraben Device Seizure89
4.2.4 Oxygen Forensic Suite 201091
4.2.5 Cellebrite98
4.3 比較工具和結(jié)果101
4.3.1 購(gòu)買軟件需要考慮的因素102
4.3.2 Paraben Device Seizure
軟件的結(jié)果102
4.3.3 Oxygen Forensic Suite 2010
軟件的結(jié)果102
4.3.4 Cellebrite的結(jié)果103
4.3.5 Susteen Secure View 2
軟件的結(jié)果103
4.3.6 Katana Forensics Lantern
軟件的結(jié)果103
4.3.7 有關(guān)支持的問(wèn)題104
4.4 小結(jié)104
第5章 邏輯數(shù)據(jù)分析105
5.1 搭建一個(gè)取證工作站105
5.2 資源庫(kù)（Library）域110
5.2.1 通訊錄111
5.2.2 緩存（Caches）114
5.2.3 通話記錄116
5.2.4 配置概要117
5.2.5 Cookie117
5.2.6 鍵盤118
5.2.7 日志120
5.2.8 地圖122
5.2.9 地圖歷史記錄122
5.2.10 備忘錄123
5.2.11 系統(tǒng)偏好設(shè)置123
5.2.12 Safari 瀏覽器124
5.2.13 記憶休眠狀態(tài)125
5.2.14 短信和彩信126
5.2.15 語(yǔ)音信箱128
5.2.16 網(wǎng)絡(luò)應(yīng)用程序129
5.2.17 WebKit129
5.3 系統(tǒng)配置數(shù)據(jù)132
5.4 媒體域（Media Domain）134
5.4.1 媒體文件目錄134
5.4.2 Photos.sqlite數(shù)據(jù)庫(kù)139
5.4.3 PhotosAux.sqlite 數(shù)據(jù)庫(kù)139
5.4.4 語(yǔ)音備忘139
5.4.5 iPhoto相片140
5.4.6 多媒體141
5.5 第三方軟件142
5.5.1 社交網(wǎng)絡(luò)分析142
5.5.2 Skype143
5.5.3 Facebook145
5.5.4 AOL AIM146
5.5.5 LinkedIn146
5.5.6 Twitter147
5.5.7 MySpace147
5.5.8 Google Voice148
5.5.9 Craigslist151
5.5.10 具備分析和挖掘功能的軟件152
5.5.11 iDisk152
5.5.12 Google Mobile153
5.5.13 Opera154
5.5.14 Bing154
5.5.15 文檔和文檔恢復(fù)155
5.6 反取證軟件和過(guò)程157
5.6.1 圖片儲(chǔ)藏庫(kù)159
5.6.2 Picture Safe159
5.6.3 Picture Vault160
5.6.4 Incognito Web Browser161
5.6.5 Invisible Browser162
5.6.6 tigertext162
5.7 越獄166
5.8 小結(jié)166
第6章 Mac和Windows計(jì)算機(jī)
中的證據(jù)167
6.1 Mac計(jì)算機(jī)中的證據(jù)167
6.1.1 屬性列表文件167
6.1.2 MobileSync數(shù)據(jù)庫(kù)168
6.1.3 蘋果備份文件的演變168
6.1.4 密碼鎖定證書170
6.2 Windows計(jì)算機(jī)中的證據(jù)170
6.2.1 iPodDevices.xml170
6.2.2 MobileSync備份171
6.2.3 密碼鎖定證書172
6.3 蘋果移動(dòng)設(shè)備備份文件分析172
6.3.1 iPhone Backup Extractor172
6.3.2 JuicePhone173
6.3.3 mdhelper175
6.3.4 Oxygen Forensics Suite 2010
手機(jī)取證套件176
6.4 Windows的取證工具和
備份文件177
6.4.1 FTK Imager178
6.4.2 FTK 1.8178
6.4.3 技巧和訣竅180
6.5 小結(jié)181
第7章 地理位置信息分析182
7.1 地圖應(yīng)用程序182
7.2 圖片和視頻的地理標(biāo)記189
7.3 基站數(shù)據(jù)198
7.3.1 GeoHunter202
7.4 導(dǎo)航應(yīng)用程序205
7.4.1 Navigon206
7.4.2 Tom Tom209
7.5 小結(jié)210
第8章 媒體注入211
8.1 什么是數(shù)字版權(quán)管理（DRM）211
8.1.1 數(shù)字版權(quán)管理的法律要素212
8.1.2 案例分析：手機(jī)越獄214
8.1.3 案例分析：蘋果與Psystar215
8.1.4 案例分析：在線音樂(lè)下載217
8.1.5 案件分析：索尼BMG案件217
8.1.6 DRM的未來(lái)218
8.2 媒體注入219
8.2.1 媒體注入工具219
8.3 驗(yàn)證鏡像225
8.4 小結(jié)227
8.5 參考文獻(xiàn)229
第9章 媒體注入分析231
9.1 使用Mac分析注入媒體231
9.2 郵件234
9.2.1 IMAP234
9.2.2 POP郵件235
9.2.3 Exchange236
9.3 數(shù)據(jù)恢復(fù)（碎片重組）238
9.3.1 MacForensicsLab238
9.3.2 Access Data取證分析套件241
9.3.3 FTK和圖片244
9.3.4 EnCase249
9.4 間諜軟件252
9.4.1 Mobile Spy252
9.4.2 FlexiSpy255
9.5 小結(jié)256
第10章 網(wǎng)絡(luò)分析257
10.1 關(guān)于證據(jù)鏈的考慮257
10.2 網(wǎng)絡(luò)101：基礎(chǔ)知識(shí)258
10.3 網(wǎng)絡(luò)201：高級(jí)部分264
10.3.1 DHCP264
10.3.2 無(wú)線加密和身份認(rèn)證265
10.3.3 取證分析266
10.3.4 網(wǎng)絡(luò)流量分析268
10.4 小結(jié)272

章節(jié)摘錄

版權(quán)頁(yè)：   插圖：   3.1 美國(guó)憲法第四修正案 美國(guó)憲法第四修正案最基本的權(quán)利就是禁止“無(wú)理搜查和扣押，（Henderson,2006）。雖然Henderson以及其他很多案例都在強(qiáng)調(diào)這個(gè)權(quán)利，但是美國(guó)最高法院仍然解釋說(shuō)，并沒(méi)有法律規(guī)定警察不能檢查你的金融記錄、電話、電子郵件、網(wǎng)站交易記錄。 警察進(jìn)行搜查應(yīng)當(dāng)取得搜查證，以保證第四修正法案的個(gè)人權(quán)利不被侵犯，特殊情況除外。然而，有些搜查違背了合理的、要求保護(hù)個(gè)人隱私的期望，卻并不違法（StiUwagon,2008）。搜查證要求的免責(zé)條款包括經(jīng)當(dāng)事人同意、公共調(diào)查、突發(fā)事件和逮捕時(shí)進(jìn)行的搜查。 一般來(lái)說(shuō)，合理的隱私期望必須是“實(shí)際的隱私期望”，而且該期望必須是“被社會(huì)認(rèn)可為合理的”（Stillwagon,2008）。關(guān)于手機(jī)，聯(lián)邦法院和美國(guó)司法部門把無(wú)線電子設(shè)備看做是“封閉的容器”，可以進(jìn)行合法分析，并且認(rèn)為，手機(jī)和其他密封容器一樣，合法逮捕時(shí)是“可搜查”的。 某些情況下，警察可以不用搜查證就進(jìn)行搜查。如果警察在沒(méi)有搜查證的情況下進(jìn)行搜查，觸犯了個(gè)人隱私，那么法院就必須拒絕采用本次搜查獲取的證據(jù)（Stillwagon,2008）。是否可以采用從無(wú)線設(shè)備中獲取的證據(jù)，各個(gè)法院的認(rèn)定不同，因?yàn)橛械姆ㄔ赫J(rèn)為手機(jī)采用的技術(shù)與尋呼機(jī)的技術(shù)相似，因此證據(jù)合理，可以被采納；另一些法院的看法則相反。 但是，法院準(zhǔn)許對(duì)手機(jī)進(jìn)行搜查的特殊情況，是針對(duì)的“逮捕附帶搜查，（Stillwagon,2008）。此類搜查必須是發(fā)生在合法逮捕的情境中，而且搜查只能在被捕嫌犯可控制的范圍內(nèi)發(fā)生。逮捕之后的搜查期間，警察能夠搜查任何物品，當(dāng)然也包括嫌犯可控范圍之內(nèi)的手機(jī)。 兩個(gè)標(biāo)志性的案件：美國(guó)Olmstead案件（277 U.S.438，1928）和Katz案件（398 U.S.347，1967），縮小了第四修正案的解釋范圍（Henderson,2006）。Olmstead案件里，法院判定政府可以監(jiān)聽(tīng)手機(jī)通話而不違反第四修正案。之后，Katz案件里，法院澄清第四修正案保護(hù)的不是地方，而是人。這兩個(gè)案件得出一個(gè)共同的結(jié)論：對(duì)使用手機(jī)撥通號(hào)碼與第三方交流信息，第四修正案無(wú)法滿足其合理的、保護(hù)隱私的要求。 3.2通過(guò)手機(jī)追蹤 對(duì)執(zhí)法部門的工作人員來(lái)說(shuō)，手機(jī)最大的優(yōu)點(diǎn)，就是在任何時(shí)間下都可以追蹤到特定手機(jī)的位置（Henderson,2006）。如果警察能夠追蹤一部手機(jī)，也就意味著他們能夠追蹤一個(gè)人的位置。警官能夠通過(guò)追蹤手機(jī)記錄從而將一些犯罪嫌疑人與案件聯(lián)系起來(lái)（Walsh,D.,&Finz,s.,2004）。例如，在Scott Peterson謀殺案中，警官查閱了Scott Peterson的手機(jī)位置信息，公訴人依據(jù)此信息把他與犯罪現(xiàn)場(chǎng)聯(lián)系起來(lái)，最終判定他謀殺妻子的罪名成立。 美國(guó)聯(lián)邦通信委員會(huì)（FCC）于2001年啟動(dòng)了一個(gè)計(jì)劃，迫使手機(jī)運(yùn)營(yíng)商推出一種新技術(shù)，這種技術(shù)使用多個(gè)重疊的蜂窩基站更精確地定位到手機(jī)的位置（Fletcher,F.,&Mow,L.,2002）。繼而緊急救援機(jī)構(gòu)進(jìn)一步運(yùn)用手機(jī)追蹤技術(shù)，可幫助緊急救援人員迅速到達(dá)救援現(xiàn)場(chǎng)。警察和政府官員之后發(fā)現(xiàn)這個(gè)技術(shù)還有另一個(gè)用途：追蹤疑犯、進(jìn)行調(diào)查、破案和檢舉犯罪（Henderson,2006）。因此，如果你不想被追蹤，那么你唯一的選擇就是不攜帶手機(jī)。

圖書封面

圖書標(biāo)簽Tags

無(wú)

評(píng)論、評(píng)分、閱讀與下載

---

    iOS取證分析 PDF格式下載

---