一般而言,移动设备常用的操作系统有苹果移动操作系统(iOS)、安卓、微软视窗、黑莓等。目前主流的是苹果移动操作系统和安卓系统,主要的移动系统取证研究也是围绕这两个操作系统展开的。分析移动操作系统的取证方法,首先要了解其文件系统及存储管理系统:用于存储的硬件是闪存控制器、与非闪存、多媒体存储卡。内核负责存储的模块包括:存储设备的驱动、用于访问内存设备的子系统MTD(Memory Technology Device,内存技术设备)、块设备子系统、虚拟文件系统(Virtual File System,VFS)、能够很好地支持大容量与非闪存的文件系统等。安卓操作系统为了实现应用的隔离,使用了沙箱的安全架构,这也是移动系统取证需要考虑的。
1. 安卓系统取证
(1)逻辑技术取证:在有根(ROOT)权限2的情况下,可以用adb pull命令把文件系统的不同部分复制到Ubuntu工作站中进一步分析。备份分析使用的RerWare、AFLOgical等也是不错的取证工具。
(2)物理取证:包括硬件与终端实现连接的方法或者是物理上获取终端设备的方法,也包括将终端设备中的软件在具有根访问权限的条件下运行以获取分区完整镜像的技术,JTAG(Joint Test Action Group,联合测试工作组)以及根权限下的各种技术方法等。
通过各种取证手段可以获取时间序列、系统文件类型、对文件分区的镜像和分析等。
2. 苹果移动操作系统取证
苹果移动操作系统的一个特点是用户大量使用“越狱“,越狱使得取证容易了,数据却不安全了。越狱的好处是获得权限,可以安装未经验证的程序,其风险是系统安全性大幅降低。苹果移动操作系统的文件系统是HFS+,SQLite数据库包括地址簿、短信和呼叫记录等。
苹果移动设备和安卓设备的最大区别就是安全性不同。苹果移动设备可以设置一个个人标识码(Personal Identification Number,PIN)(一般4位)来阻止非法访问,可以设置成连续输入10次错误码将抹掉设备上的所有数据。苹果移动操作系统还有一个会员机制:MobileMe,允许用户在设备丢失的情况下远程设置密码。
由于其加密机制,要获取苹果移动操作系统取证的内容仅仅获取磁盘镜像还不行,应该先破译或者绕过密钥;内容保护密钥必须在获取阶段从设备中提取;需要解密存储的内容;密码用来完成一个主密钥集合;在实际操作中,应该先在线下提取源数据和计算机保护密钥。
苹果移动操作系统取证方法包括:
(1)直接从连接在电脑上的苹果移动设备上获取数据。
(2)利用苹果公司的协议,获取移动设备文件系统的一个备份或者逻辑拷贝。这种方式仅能从一个镜像文件中获取证据(利用同步协议),最大的问题是密钥的破解。
(3)物理逐字节复制,即以传统的物理克隆的方法产生一个镜像文件。其困难之处在于数据太大并且分析过程复杂,有时需要修改分区。苹果移动操作系统取证的最大难点在于突破加密机制。
3. 安卓系统与苹果移动操作系统取证对比
苹果移动操作系统和安卓操作系统各有优劣。苹果移动操作系统是完全封闭的,不开源,经过苹果公司的严格管理,在大部分情况下,第三方应用无法拿到所有应用程序接口,是安全性很高的一个系统。但是苹果商店有很多软件收费,只有通过越狱才能避免交费。从移动取证的角度讲,苹果移动操作系统的取证难度较大,在不越狱的情况下尤为困难。
安卓是一个开源并且免费的系统软件。在设计上,安卓允许自由替换系统组件,也因此出现了鄙版猖獗的情况。安卓系统本身安全性不高,并且平台系统散乱,形成了“一个操作系统,多种硬件平台”的局面。从移动取证的角度讲,安卓操作系统的取证比苹果移动操作系统难度较小。
声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!