如何從 iOS 設備中導出媒體文件
在我們所用的iOS 設備中,媒體文件佔了很大一部分內存,也是我們使用頻率最高的內容,媒體文件包括音頻、圖片、視頻、文本等。一般情況下我們會在手機裡面直接閱讀這些內容,但一旦手機內存不夠或是出現其它情況,我們就想到把它們提取出來,存放到其它位置。這時掌握快速的提取方法就非常的重要了,尤其是對於保存在EXIF元數據中的地理標記(位置數據)。
也許看到這,有些用戶可能會問了,就是導出文件,插根線或是通過網路發送的方式導出來不就可以了嗎,還需要單獨地拿來討論嗎?在這裡我要說明的是,從Android智能手機中提取圖片和視頻是非常容易的。但對於使用iOS設備的用戶來說,提取媒體文件雖然就是個非常複雜的過程,本文就讓我們來看看如何在解鎖和鎖定兩種模式下,從iOS設備中提取媒體文件,中間我會順帶介紹一些使用到的工具和提取技術。
提取媒體文件的方法
目前,我已經掌握了多種可以用來提取媒體文件的方法。本文我會介紹三種提取的方法,分別是物理採集法(Physical acquisition)、邏輯採集法(Logical acquisition )、媒體提取法(Media extraction)。
物理採集仍然是iOS 設備可用的最佳採集方法,但是,如果設備被鎖定,或者你不知道密碼,又或者如果當前運行的iOS版本沒有越獄,則物理採集就很難實現了。 不過,我有理由相信iOS 10.3、iOS11.0、iOS11.1會在不久的將來發布公開越獄。所以考慮到所有的複雜因素,下面講到的邏輯採集才是我的首選方法。
邏輯採集是一種安全,簡單的物理採集替代方案。邏輯採集不但可以提取所有的媒體文件,而且是一種乾淨且相對較快的方法。更重要的是,如果你想得到一個有效的鎖定文件(配對記錄),那即使在密碼不知道的情況下,也可以從鎖定的設備上進行ituns的備份。
但邏輯採集並非十全十美,並非在所有情況下都能生效。如果啟用了備份密碼,則可能成為提取的主要障礙。雖然可以在運行iOS 11的設備上重置備份密碼,但仍需要知道並輸入用戶的密碼才能執行重置。在較舊的設備上,備份密碼更是一個障礙了。雖然在許多情況下,更新到ios11並刪除密碼可能是一種可行的策略,但出於其他一些目的,這個過程在法理依據上還值得商榷。另外,如上所述,你必須知道密碼才能升級操作系統並刪除備份密碼。如果設備被鎖定,並且你擁有的只是一個鎖定文件,邏輯採集你就不要考慮了。
不管你要提取的iOS設備是處於解鎖還是鎖定狀態,如果你已經有了鎖定記錄並且在開機或重啟後至少解鎖了一次,則你還有第三種提取方法——媒體提取法。
媒體提取法就是通過使用iOS的專門計算機取證調查工具——Forensic Toolkit 2.50及更高版本(含有「M」命令),藉助專用的機制來訪問和提取媒體文件,包括照片和視頻文件,照片和視頻的文件編輯信息,iBooks應用程序里所含的書籍和PDF文件信息,錄音和來自iTunes媒體庫的信息。
媒體提取法絕對不是一我新發現的方法,因為它本質上是利用了漏洞來進行提取的。 iOS Forensic Toolkit利用iPhone上運行的服務的方法是這樣的:在圖像捕捉(macOS)和照片(Windows 10)應用程序傳輸照片時,趁機連接到這些服務。但是,與這些應用程序相比,iOS Forensic Toolkit獲取的信息要多得多。與Windows / Mac應用程序相比,iOS Forensic Toolkit可以執行以下操作:
1.除視頻和照片外,還可以提取音樂,iBooks和PDF文件。
2.對於每張圖片,iOS Forensic Toolkit都會提取圖片被編輯的信息,比如是否被編輯過,何時被編輯的。
3.支持鎖定記錄以從鎖定的設備中提取媒體文件。
很明顯,在了解完以上三種方法後,iOS Forensic Toolkit顯然是我們心中提取媒體文件的一把利器,既然如此,就讓我們看看iOS Forensic Toolkit具體是如何提取媒體文件的?
如何使用iOS Forensic Toolkit提取媒體文件
要使用iOS Forensic Toolkit(版本2.50或更高版本)從iPhone中提取媒體文件,你就要確定你所要提取的設備是解鎖的還是鎖定的?
以解鎖的iPhone為例,前提是使用iOS 11,且密碼是已知的。如果你即將提取的iPhone已經解鎖,並且在運行iOS 11的情況下,你知道它的密碼,請執行以下5個步驟:
1.通過調用Toolkit-JB命令啟動iOS Forensic Toolkit。
2.使用蘋果數據線將iPhone連接到電腦,如果你能夠解鎖iPhone,請通過確認「Trust this computer?」提示符(iOS 11的情況下)輸入設備密碼來連接設備。
3.在主窗口中輸入「M」 (Media) 命令:
4.如果該設備尚未與電腦連接,則系統會提示你輸入一個鎖定文件,以提供鎖定記錄的路徑,此時,當出現提示時,可以將鎖定文件拖放到iOS Forensic Toolkit窗口中。此時,你就有了關於鎖定文件和它們的準確位置的全面的記錄信息。如果鎖定文件有效,系統還會提示你保存媒體文件的路徑,默認情況下為AFC,位於Windows上的當前文件夾或macOS上的用戶Home文件夾下。
5.這些文件將被提取並保存在你的計算機上,根據提取的數據量不同,提取時間也會從幾秒鐘到半個小時不等。
訪問提取的數據
由於我的測試設備包含了15000多個文件,總大小為27GB,耗時大約20分鐘。所提取的文件會被自動保存,保存的位置位於被獲取的iOS設備的原始媒體文件夾結構中。
雖然我提取的數據數量看起很多,但其中最重要的文件夾是:
1.DCIM文件夾:包含圖片和視頻,此文件夾包含多個名為「XXXAPPLE」的子文件夾,其中XXX是一個範圍從100到999的數字。實際上,如果你通過標準方式訪問該設備,則這是唯一可用的文件夾。
2.書籍文件夾:來自iBooks應用程序的文件。
3. 購買的媒體文件夾:購買音樂(* .mp4文件),請注意,這些文件都不包含在iOS系統備份中。
4.照片數據文件夾:照片編輯信息(裁剪,應用濾鏡和特殊效果等),相冊的鏈接信息,縮略圖信息。
5.媒體分析文件夾:照片分析數據(用於按類別/對象快速搜索)。
6.錄音文件夾:錄音,如語音片段。
除了這些文件夾之外,你還將獲得許多SQLite資料庫和PLIST文件。不過目前,我還沒有對這些資料庫進行過分析。值得注意的是,在提取SQLite資料庫完整的WAL(寫入日誌)和SHM數據時,其中還包括一些未完成操作的信息。
提取的圖像可能包含EXIF信息,其中位置數據可以說是最具爭議性的,在macOS上,你可以在預覽應用程序中選擇 [Tools] 中的 [Show Inspector] :
HEIF/HEVC文件上的媒體信息
iOS 11和macOS 11.13(High Sierra)增加了對HEIF(高效圖像文件格式)和HEVC(高效視頻編解碼器)格式的支持,包括iPhone 7/7 Plus和更新的iPad Pro 10.5和iPad Pro 12.9第二代。
由於這些格式比較新,並且目前沒有iOS 11和MacOS High Sierra以外的任何操作系統的本機支持,因此這些新格式捕獲的圖像可能會在你將其複製到計算機上時自動轉換為常用的格式。不過是否啟用自動轉換,則由iOS設備上的TRANFER TO MAC OR PC選項控制。如果該選項設置為「自動」,則在使用MacOS上的「圖像捕獲」或「照片」將圖像和視頻)傳輸到計算機時,圖像(和視頻)將分別自動轉換為JPEG和MOV格式。
無論iOS設備的轉換設置如何進行設置,Elcomsoft iOS Forensic Toolkit都會以各自的原始格式檢索照片和視頻。如果設備被鎖定,並且你通過鎖定記錄訪問媒體文件,則iOS Forensic Toolkit是市場上唯一能夠以原始格式提取媒體文件的工具。
總結
利用iOS Forensic Toolkit 2.50進行媒體提取的方法是一種快速簡便的方法,可以從解鎖和鎖定的iPhone和iPad設備中提取媒體文件,而無需使用本地備份。
本文翻譯自:https://blog.elcomsoft.com/2018/01/how-to-extract-media-files-from-ios-devices/ ,如若轉載,請註明原文地址: http://www.4hou.com/mobile/9901.html 更多內容請關注「嘶吼專業版」——Pro4hou
推薦閱讀:
※[翻譯] Intel 處理器設計缺陷導致嚴重安全漏洞
※搭建風控系統道路上踩過的坑(3)-阻斷風險
※如何高效清除電腦里的惡意軟體?
※一加手機終於承認錯誤!約4萬名用戶信用卡信息受影響
TAG:信息安全 |