如何從iOS文件系統TAR包中取證，提取用戶位置信息

來自專欄嘶吼RoarTalk

雖然TAR只是UNIX操作系統中的未壓縮文檔，但這對於移動取證專家來說，卻是非常重要的。

自從iPhone 5s(蘋果首款64位iPhone)問世以來，物理取證就變得異常困難。對於配備Apple 64位處理器的所有iPhone和iPad設備，由於它們採取了全磁碟加密技術，物理取證只能通過文件系統提取進行。即使經過越獄的設備，也必須在設備上運行tarball命令才能繞過加密。由於文件系統映像是由iOS捕獲和打包的，因此無論執行物理取證時，使用何種工具。你都會得到完全相同的TAR文件。無論你使用的是iOS Forensic Toolkit工具還是GrayKey（一個破解iPhone的工具），你都會獲取與設備文件系統映像完全相同的TAR文檔。

經常我會被問到的一個問題是：「我們可以用獲取的TAR文件，得到一些什麼信息？」到目前為止，大多數可用於分析這些TAR映像內信息的工具，都只是功能齊全的取證工具包中的一個小工具。你的選擇僅限於是選擇耗時耗力的人工分析，或者是使用高度複雜的自動化取證工具套件，除此之外，你別無選擇。

不過自從Elcomsoft Phone Viewer 3.70出現後，該工具就提供了一個完美的替代手動分析和複雜工具套件的方案。使用Elcomsoft Phone Viewer，取證人員可以訪問通話記錄，聯繫人和消息資料庫，通知，瀏覽記錄以及當然位置數據。

為什麼TAR文件對取證很重要？

與邏輯取證相比，物理取證則提供了許多實實在在的好處。至少，除了你在備份文檔中看到的內容之外，你還可以獲得以下所有的內容。

1.通知內容：在iOS 11之前，那些未被刪除的通知也會出現在備份文件中，但在iOS 11之後，備份文件中是不會保留它們的。所以今天，你只能從TAR文件中提取通知。通知可能包含一些重要的證據，而這些證據在其他情況下是無法獲得的，比如來自電子郵件賬戶、社交網路、銀行和旅行應用、計程車應用等。

2.應用信息：在iOS中，開發人員可以控制要備份的信息。即使他們選擇允許備份，開發人員也可能選擇只對同一台設備提供數據，這意味著應用將使用硬體密鑰進行加密，即使進行越獄也不可能破解。TAR文件可以通過允許不受限制地訪問應用程序的沙盒數據，來解決此問題。Elcomsoft Phone Viewer會顯示已安裝的軟體包列表，並顯示每個應用程序數據的確切位置。

3.位置信息：與備份信息相比，你可以在TAR文件中看到更多的位置數據。

說到位置，Elcomsoft Phone Viewer 3.70可以從大量的信息來源中提取位置數據。目前位置信息來源包括：

3.1 重要的位置點；

3.2 3G/LTE/Wi-Fi連接緩存中的位置信息；

3.3 Apple地圖；

3.4 谷歌地圖；

3.5 媒體文件中的EXIF，包括用於捕獲映像設備的ID；

3.6 日曆活動記錄，包括活動鏈接；

3.7 UBER應用程序

通過訪問從各種來源收集的位置數據，你不再僅限於從位置日誌收集的證據。不過有些信息來源僅適用於物理提取（比如TAR文件），並且某些數據在分析備份時可能會受到限制。

位置信息也可以「說謊」

在分析位置數據時，請注意，你不能盲目信任Elcomsoft Phone Viewer 3.70工具所獲取的報告的所有內容。例如，該工具將從設備上的所有映像中提取位置信息，而不僅僅是該設備捕獲的映像。使用該工具的用戶可以以電子郵件或即時消息附件的形式接收映像，並且日曆活動記錄可以自動添加，而無需用戶設置。緩存的位置信息則會列出最近的基站的近似坐標，而Wi-Fi坐標是基於訪問點的MAC地址的第三方服務檢索的，這個數據的準確性，目前還存在爭論。最後，Apple地圖和谷歌地圖的位置信息，都是用閉源演算法得出的。儘管沒有時間戳，但是，Apple地圖和谷歌地圖的位置信息還是用戶實際位置的更可靠指標之一。

如何使Elcomsoft Phone Viewer 3.70分析TAR文件？

有了足夠的理論，讓我們看看如何在最新的Elcomsoft Phone Viewer 3.70中打開的TAR文件。

在開始之前，請確保Elcomsoft Phone Viewer的版本，該軟體可以單獨購買，並且包含在Elcomsoft Mobile Forensic Bundle中。標準版無法打開TAR文件，很明顯，你還需要使用Elcomsoft iOS Forensic Toolkit或GrayKey在物理提取過程中獲得的TAR文件。

啟動Elcomsoft Phone Viewer 3.70，與以前的版本相比，你會看到一個新的圖標，顯示「iOS設備映像」，點擊它打開一個TAR文件。

選擇TAR文件，打開該文件時，你就會看到一個提示信息，詢問你是否要掃描Camera Roll以外的位置，以查找可能包含位置數據的媒體文件。根據獲取文件的數量，打開TAR文件所需的時間可能會不同。

此時，獲取文件就會被打開，打開一張11 GB映像需要大約2分鐘的時間。

該文件被打開後，Elcomsoft Phone Viewer 3.70就會開始從中發現和索引證據。這可能需要幾分鐘的時間。

最後，你將能夠獲取你所需要的證據！如果你關心的是一個或多個問號，而不是項的數量，例如下面示例中的「位置」前面的問號。請注意，這是由於數據的後台處理造成的。一旦打開相應的類別，EPV將解析條目的數量。

首先會顯示已安裝的應用列表：

如果你的計算機可以聯網，則該工具會提示你，它會將軟體包名稱與iTunes資料庫相匹配。這麼做，是為了查看應用程序的實際名稱，而不是包的名稱。

如果要訪問特定應用程序的數據集，請滾動到最右邊的那一列，其中包含有關TAR文檔中應用程序數據集的完整路徑信息。

位置信息如下：

如你所見，該工具匯總來自多個來源的位置數據，包括日誌，媒體文件中的地理標記甚至日曆活動：

如果你點擊下圖中的坐標信息，地圖將會打開。

此外，你可以分析用戶的Safari書籤和瀏覽歷史記錄，通知，通話記錄和消息等等，如下圖所示

本文翻譯自：https://blog.elcomsoft.com/2018/06/the-ios-file-system-tar-and-aggregated-locations-analysis/如若轉載，請註明原文地址： http://www.4hou.com/mobile/12052.html 更多內容請關注「嘶吼專業版」——Pro4hou

推薦閱讀：