对iOS系统iPhone取证的浅析

对iOS系统iPhone取证的浅析

宋君凯1张一鸣2

1太原市公安局 山西太原 030021

2朔州市公安局科技处 山西朔州 036000

摘要：随着电子和计算机技术的快速发展，电子数据取证在当今社会发挥着越来越重要的作用，电子数据已经成为一种重要的证据。自2009年起我国在公安、刑侦、网监等陆续从开始关注计算机取证技术对于电子物证数据恢复，计算机取证体系凭借稳定性、安全性和功能性，在我国司法领域逐渐获得极高的认知度，我国公安、刑侦、网监等多个部门先后装配组建了符合各自实际情况的数据恢复、计算机取证技术电子物证保障体系，并取得丰硕成果。接下来从外到里讲解一下iOS系统中iPhone手机的取证。

关键词：电子数据；iOS系统；iPhone取证；

一·手机电子数据

（一）手机操作系统

目前，常见的应用在手机上的操作系统主要有Symbian、Android、iPhoneOS、WindowsMobile、Linux、BlackBerry、PalmOs等，其中最主流最常用的手机操作系统是Android和iPhoneOS。

（二）手机存储信息的种类

手机中存储涉案信息的种类主要包括七种：通讯录、已保存和已删除的通话记录、已保存和已删除的短信、系统所涉及的信息，手机上所存储的照片，视频，文件还有录音等、浏览器的上网搜索记录、安装APP的记录信息。

二·iPhone与iOS系统

（一）iPhone与iOS的发展

1. iPhone是美国苹果公司于2007年6月29日上市的一款智能手机，在一段时间内，iPhone几乎占据了手机市场的半壁江山，成为Fashion的代名词，人手一部iPhone，拥有一部iPhone手机是大部分人的想法。
2. 参考消息网1月18日的报道，2023年苹果公司的智能手机销量超过三星位列第一，认为这是“最大消费电子市场顶端的权利转移”。国际数据公司研究部门负责人娜比拉·波帕尔指出，这是苹果公司首次占据该市场的最大份额，也是“全球市场前三名中唯一同比正增长（增长3.7%）的公司”。其中缘由和iPhone手机的独特外观、流程的系统密不可分，随着中国经济的发展，以及年轻人的兴趣喜好，中国已经发展成为苹果公司早全球的最重要的市场，并远远超过了美国，成为年轻人必不可少的时尚通讯工具。

3.iOS系统是由苹果公司开发的一种操作系统，该系统是一个封闭的操作系统仅支持在iPhone、iPad等苹果设备上运行，这也是苹果系列的核心竞争力所在。

4.iOS的系统结构分为四个层次：核心系统层（the Core OS layer）、核心服务层（the Core Services layer）、媒体层（the Media layer）和触摸框架层（the Core Touch layer）

表1-1 iOS操作系统层级

·触摸框架层（the Core Touch layer）包含了构建iOS应用中与用户交互有关的关键运行库，提供应用的基本操作空间和关键技术，包括多任务、以接触为基础的输入、消息推送和许多高级的系统服务。

·媒体层（the Media layer）提供图像、音像和视频技术。

·核心服务层（the Core Services layer）包含了App用到的基础服务，其中最关键的服务是核心基础（Core Foundation）和基础（Foundation）框架，它定义了所有App都会用到的基础类型。这一层包含了一些特别的技术，如位置、iCloud、社交媒体和网络。

·核心系统层（the Core OS layer）包含了大部分为系统提供服务的底层功能。即使App中没有直接用到这些技术，它们也有可能已经在其他框架中被间接使用。

iOS系统的响应顺序依次为Touch、Media、Service、Core架构，因此，对屏幕反应的优先级是最高的，换句话说用户只需要触摸到屏幕之后，系统就会优先去处理屏幕显示也就是Touch这个层级，这也是iOS系统使用流畅性优于其他系统的主要原因。

（二）系统安全机制

苹果公司在 iOS 操作系统安全方面下了一番苦工，相继加入了沙盒机制、数据保护 API、钥匙串 API、全盘加密技术来保护系统和数据的安全性。

1）iOS系统安全架构

图1-1

2） 沙盒机制

iphone对安装在手机中的应用程序有所限制，即应用程序只能在为该程序创建的文件系统中读取文件，不可以去其他地方访问，此区域被称为沙盒。从下面这张图1-2，我们可以看出，当在安装一个APP的时候，它都是运行在一个隔离的环境，每一个APP都是一个隔离的环境，而且互不干扰，也不能随意的去访问其他应用程序的数据。所以沙盒会有这么几个特点：

·每个应用程序都有属于自己的存储空间。

·应用程序不能直接去访问别的程序的存储内容。比如说它不能读取其他APP文件或者内容。

·应用程序所请求的数据都要通过权限的检测。请求的数据就是类似于短信，照片等数据，当我们应用程序要去访问这些数据的时候，它会通过一个权限检测，让用户决定是否允许你去访问这个数据。

总体来说，沙盒就是一种独立、安全、封闭的空间，所有的非代码文件都要保存在此，如图像、图标、声音、强属性列表、文本文件等。

图1-2

3） 数据保护和加密

数据保护利用文件系统加密、钥匙串和用户密码提供了一个额外的针对文体的护层，开发者可以根据需求调用，这限制了某些进程在系统层面读取文件。该APT最多的场景就是当设备锁定时确保数据不可用。对设备中底层的每个数据使用密钥加密，密钥类型分为文件密钥（File Key）、层级密钥（Class Key）、文件系统密钥（FileSystem Key）和设备密钥（Device Key）。

我们文件中的内容是通过文件密钥（File Key）加密的，当然文件密钥（File Key）是通过类密钥加密，并且保存在文件元素中。二文件原数据是通过文件系统密钥（FileSystem Key）来进行加密的，那么当我们要去读取一个文件内容的时候，只有硬件和密码密钥同时拥有，这个加密文件才能被解密如下图1-3，如果我们把加密的文件内容放到其他硬件上面去解密，由于硬件秘钥在每一个设备上面都是不一样的，所以它不能正确的解密出来。如果我们的用户没有输入密码密钥，也不能解密出来。当然我们看到一个文件系统密钥（FileSystem Key），这个文件系统密钥可以实现快速抹除的功能，我们只有删除了这个文件系统密钥，那么所有的文件都不能访问，所以能快速的抹除设备数据。

图1-3

4） 钥匙串 API

iOS 操作系统提供了钥匙串API来存储少量机密信息。开发者可以用它来存储密机密密钥以及那些不能被其他应用访问的敏感信息。调用钥匙串 API 主要通过se0mgf

护进程来完成，即从 SQLite 数据库中提取数据。开发者可以指定在什么情况下众瓶限读取密钥。

(三)iPhone手机“越狱”

在我们所知的大部分操作系统，包括电脑和手机的系统，都会有多个用户和多个权限，不同的软件安装和使用的时候会向系统请求不同的权限，但是一般手机的操作系统为了安全需要，只会默认给用户一个基本的用户权限，这时，要安装一些需要高级权限的软件，就会被拒绝，如果要安装就必须升级自己的权限，通过系统漏洞来提升权限的操作就是“越狱”。这是目前国内统一的说法，准确的讲应该叫破解权限。

iOS系统为闭源系统，用户权限很低，通过“越狱”来取得手机操作系统的最高权限，使用手机用户可以完全掌握iOS系统，可以随意修改系统文件、安装插件，以及安装一些非官方认定的软件。

“越狱”的风险是将设备暴露在Internet上。通过允许设备在安装越狱时联机，您允许设备同步数据，更糟糕的是，您将使设备容易受到任何可能正在等待的远程锁定或远程擦除命令的影响。为了物理提取而安装越狱的过程与用于研究或其他目的的越狱有很大不同。特别是，取证专家正在努力使设备保持离线状态，以防止数据泄漏、不必要的同步以及可能的远程锁定或擦除设备的远程设备管理问题。虽然不存在“一般”越狱的越狱指南和手册，但为了物理获取而安装越狱具有多种取证意义和一些重要的预防措施。策略：您可以通过遵循iOS越狱指南中的正确的越狱安装过程来减轻这种风险。

“越狱”无法安装。越狱利用操作系统中的漏洞链来获取超级用户权限，逃离沙箱并允许执行未签名的应用程序。由于多个漏洞被连续利用，越狱过程可能随时失败。缓解：由于不同的越狱使用不同的代码甚至可能针对不同的漏洞，不同的越狱工具具有不同的成功率。如果您选择的原始工具失败，请尝试使用其他越狱工具。

通常进行电子数据取证时，技术人员必须保持谨慎的态度，并确保证据始终不被改变。但在手机取证领域中，使用“越狱”的方法却无法做到。由于获取数据和运行环境的限制，手机取证在传统的电子数据取证规则前，是根本无法取证的。因而在现实不得不依靠“越狱”工具，但在使用越狱工具的时候，我们有责任了解这些工具的工作原理，并提据客观情况熟练使用。而且能对取证可能出现的损坏检验手机数据原始性的这种结果有充分的预见性。总的来说，“越狱”确实有相当大的取证意义，通过谨慎选择和使用越狱，可以显著减少负面后果的数量和严重程度。然而，即使在最坏的情况下，物理提取的好处也可能远远大于越狱的缺点。

三·iPhone手机取证方式

通常情况下，类似于Android系统的手机进行取证，有下面三种方式，即备份文件取证、逻辑取证和物理取证。

（1）备份文件取证

针对备份文件进行取证分析是iPhone取证的常见的方法。很多技术人员在取证的时候大多只看到了手机本身，却忽视了与之相关的计算机，而这些计算机会保存一些重要的iPhone数据。因此，在iPhone手机使用者的电脑里都会有iTunes程序，将iPhone手机和iTunes进行同步操作时，一般只会保存特定的信息（如设备的序列号）；而进行备份操作时，会在计算机中保存手机上的一些重要数据（如SMS短信、通话记录、联系人以及其他应用程序数据），而此类数据往往是手机取证调查人员重点关注和主要调查对象，所以，在进行iPhone手机取证时，备份文件的取证分析是最为直接、最不可忽视的途径之一。在用户使用iTunes对iPhone进行备份时，iTunes软件通过自带的同步协议从iPhone手机中的特定数据区域提取数据，并将其打包为备份文件保存在计算机上，而由于采用了官方的数据同步协议，也就意味着备份文件中只可能包含既有的、未被删除的逻辑数据和程序数据，不会包含文件镜像或已删除的数据信息。

（2）逻辑取证

逻辑取证是按照数据的逻辑关系进行手机数据提取，通过使用iTunes同步协议或第三方工具提取iPhone中指定信息、文件或文件夹的方法，一般通过逻辑取证，可以从iPhone手机中提取SMS短信、通话记录、联系人、照片、网页浏览历史、电子邮件和绝大多数手机应用程序数据，仅可以获取所有未被删除的数据，它不能实现iPhone手机的恢复功能。

（3）物理取证

这种方法主要通过对设备进行镜像获取的方式进行取证，类似于对嫌疑人计算机硬盘对位复制或制作镜像文件。iPhone手机文件系统通常将删除数据标记为已删除或过期，而不是真正地在存储介质上抹除了这些数据。物理取证技术可以直接访问存储介质，所以利用此技术手段不仅可以恢复已分配数据。也可以恢复未分配的数据。但物理取证使用起来会非常困难，耗费大量时间，而且还会出现失误导致无法访问iPhone设备。

四·总结

在如今智能手机高速发展的时代，iPhone手机的不断更新和iOS系统的升级，功能会越来越多和复杂，所占用的数据空间会越来越大。手机取证用什么样的方式去迎接iPhone手机和iOS系统的更新，这是作为每一位技术人员和司法取证行业所需要考虑的问题，如何做到有效和快捷，把失误率做到最低，如何在取证的同时可以很好的保护使用者的个人隐私。这一系列的问题需要从各方面进行调整和细化。

参考文献

[1][美]Sean Morrissey.iOS取证分析[M].郭永健，等译.北京:电子工业出版社,2012;

[2]高峰.iPhone手机取证的应用研究[J].警察技术,2011(5)

作者简介：宋君凯（1989-）、男、山西忻州人、汉族、2015年毕业于中国刑事警察学院刑事科学技术专业、本科学历、警务技术中级任职资格、从事电子物证检验鉴定、声像资料检验鉴定工作。