iOS取證分析（簡體書）

《安全技術大系：iOS取證分析》介紹了針對蘋果公司iPhone、iPad和iPod Touch設備的取證調查步驟、方法和工具，主要內容包括蘋果移動設備的歷史、iOS操作系統和文件系統分析、搜索與獲取及時間響應、iPhone邏輯獲取、邏輯數據分析、Mac和Windows計算機中的證據、地址位置信息分析、媒體注入與分析、網絡分析等。本書中介紹的取證步驟和方法在美國是可以被法庭所接受的。本書適合計算機取證專業人士、執法人員、律師、安全專家，以及對此感興趣的人員和教育工作者閱讀。本書也可供執法培訓機構，以及開設有計算機取證、信息安全和電子物證等相關專業的高等院校作為教材使用。．

作者：（美國）肖恩?莫里西（Morrissey S.） 譯者：郭永健 韓晟 鐘琳

Sean Morrissey，現在是聯邦政府機構的計算機取證和手機取證分析師，Digital Forensics Magazine雜志的特約編輯。Sean和他的妻子Dawn結婚23年，他們的兒子Robert目前正在美國軍隊服役。Sean從克瑞頓大學畢業后進入美國軍隊服役，退役之后他轉向執法部門，成為馬里蘭的警官和副警長。之后Sean開設了培訓課程，這成為他人生發展的重要部分。他曾在非洲做過軍隊教官并在美國國防部網絡犯罪中心做過取證教員。這期間，他獲得了CDMC（Certified Digital MediaCollector）和CDFE（Certified Digital Forensic Examiner）資格認證，并且是Mac OSxiPod and iPhone Forensic Analysis（Syngress，2008）的主要作者。Sean根據他就職于執法部門的經歷，創建了Katana Forensics公司，為那些因為資金不足而不能購買昂貴取證工具的部門提供幫助。Katana公司建立的目的，就是為了研發不同層次的執法人員都可以使用的專業取證工具。
郭永健（sprite Guo），中國計算機法證技術研究會（CCFC）執行會長，香港資訊保安及法證公會（ISFS）中國聯絡官，國際高科技犯罪調查協會（HTCIA）亞太區分會會員，中國電子學會計算機取證專家委員會委員，中國政法大學法務會計研究中心客座研究員，北京市富華技術開發有限公司副總經理兼技術總監，從事信息安全和電子數據取證研究二十余年，于2005年創辦中國計算機法證技術研究會（CCFC）和CCFC計算機法證技術峰會，對推動中國計算機取證技術的國際交流和發展起到了重要作用。多年來針對國內外計算機法證產品進行全面測試和研究，與國際諸多計算機法證產品的作者及廠商有密切的合作，近年來受軟件作者官方委托漢化了大量取證工具，包括德國X—Ways Forensics數據分析軟件、澳大利亞Nuix Desktop綜合數據分析軟件、韓國FinalData和Final Forensic軟件、俄羅斯Passware軟件、俄羅斯Oxygen Forensic suite手機取證軟件、ICS SOLO3、Logicube公司Talon E／Dossier硬盤復制機等，同時也是X—Ways、OxYgen、Nuix、ElcomsoR、Belkasoft、MacForensicsLab等公司在中國地區唯一授權的官方培訓講師。
韓晟，中國計算機法證技術研究會（CCFC）會員，香港資訊保安及法證公會（ISFS）會員，長期從事網絡安全應急響應和計算機取證技術研究工作。曾就職于CNCERT／CC國家計算機網絡應急技術處理協調中心，2008年創辦安世盾信息技術（北京）有限公司，提供網絡安全與計算機取證專業技術服務。
鐘琳，中國計算機法證技術研究會（CCFC）會員，香港資訊保安及法證公會（ISFS）會員。曾為中科院高能物理所計算中心網絡安全實驗室及香港大學CICS實驗室成員，師從國家計算機網絡入侵防范中心首席科學家許榕生研究員，研究方向為信息安全與數字取證。

《安全技術大系:iOS取證分析》適合計算機取證專業人士、執法人員、律師、安全專家，以及對此感興趣的人員和教育工作者閱讀。《安全技術大系:iOS取證分析》也可供執法培訓機構，以及開設有計算機取證、信息安全和電子物證等相關專業的高等院校作為教材使用。

第1章蘋果移動設備的歷史
1.1iPod
1.2iPhone的演變
1.2.1ROCKR
1.2.2蘋果iPhoneG簡介
1.2.3G的iPhone
1.2.4iPhoneG[S]
1.2.5iPhone
1.3蘋果iPad
1.4內部構造：iPhone和iPad的硬件
1.4.1G版iPhone的內部構造
1.4.2iPhoneG的內部構造
1.4.3iPhoneGS內部構造
1.4.4iPhone的內部構造
1.4.5iPad內部構件
1.5蘋果AppStore應用程序商店
1.6iPhone黑客的興起
1.7小結
第2章iOS操作系統和文件系統分析
2.1iOS特性的演變
2.1.1iOS
2.1.2iOS
2.1.3iOS
2.1.4iOS
2.2應用軟件的發展
2.3iOS文件系統
2.3.1HFS+文件系統
2.3.2HFSX
2.4iPhone分區和卷信息
2.4.1OS分區
2.4.2iOS系統分區
2.4.3iOS數據分區
2.5SQLite數據庫
2.5.1通訊錄數據庫
2.5.2短信數據庫
2.5.3通話記錄數據庫
2.6分析數據庫
2.6.1提取SQLite數據庫中的數據
2.6.2Plist屬性列表文件
2.6.3查看Plist屬性列表文件
2.7小結
第3章搜索、獲取和事件響應
3.1美國憲法第四修正案
3.2通過手機追蹤
3.3逮捕中的手機搜查
3.4技術進步和蘋果iPhone
3.5如何搜查蘋果設備
3.6隔離設備
3.7開機口令
3.8識別越獄的iPhone
3.9收集iPhone中的信息
3.10對iPhone連接過的Mac/Windows計算機進行響應
3.11小結
3.12參考文獻
第4章iPhone邏輯獲取
4.1從iPhone、iPodTouch、iPad中獲取數據
4.1.1使用mdhelper軟件獲取數據
4.2可用的工具和軟件
4.2.1Lantern
4.2.2SusteenSecureView
4.2.3ParabenDeviceSeizure
4.2.4OxygenForensicSuite
4.2.5Cellebrite
4.3比較工具和結果
4.3.1購買軟件需要考慮的因素
4.3.2ParabenDeviceSeizure軟件的結果
4.3.3OxygenForensicSuite軟件的結果
4.3.4Cellebrite的結果
4.3.5SusteenSecureView軟件的結果
4.3.6KatanaForensicsLantern軟件的結果
4.3.7有關支持的問題
4.4小結
第5章邏輯數據分析
5.1搭建一個取證工作站
5.2資源庫（Library）域
5.2.1通訊錄
5.2.2緩存（Caches）
5.2.3通話記錄
5.2.4配置概要
5.2.5Cookie
5.2.6鍵盤
5.2.7日志
5.2.8地圖
5.2.9地圖歷史記錄
5.2.10備忘錄
5.2.11系統偏好設置
5.2.12Safari瀏覽器
5.2.13記憶休眠狀態
5.2.14短信和彩信
5.2.15語音信箱
5.2.16網絡應用程序
5.2.17WebKit
5.3系統配置數據
5.4媒體域（MediaDomain）
5.4.1媒體文件目錄
5.4.2Photos.sqlite數據庫
5.4.3PhotosAux.sqlite數據庫
5.4.4語音備忘
5.4.5iPhoto相片
5.4.6多媒體
5.5第三方軟件
5.5.1社交網絡分析
5.5.2Skype
5.5.3Facebook
5.5.4AOLAIM
5.5.5LinkedIn
5.5.6Twitter
5.5.7MySpace
5.5.8GoogleVoice
5.5.9Craigslist
5.5.10具備分析和挖掘功能的軟件
5.5.11iDisk
5.5.12GoogleMobile
5.5.13Opera
5.5.14Bing
5.5.15文檔和文檔恢復
5.6反取證軟件和過程
5.6.1圖片儲藏庫
5.6.2PictureSafe
5.6.3PictureVault
5.6.4IncognitoWebBrowser
5.6.5InvisibleBrowser
5.6.6tigertext
5.7越獄
5.8小結
第6章Mac和Windows計算機中的證據
6.1Mac計算機中的證據
6.1.1屬性列表文件
6.1.2MobileSync數據庫
6.1.3蘋果備份文件的演變
6.1.4密碼鎖定證書
6.2Windows計算機中的證據
6.2.1iPodDevices.xml
6.2.2MobileSync備份
6.2.3密碼鎖定證書
6.3蘋果移動設備備份文件分析
6.3.1iPhoneBackupExtractor
6.3.2JuicePhone
6.3.3mdhelper
6.3.4OxygenForensicsSuite手機取證套件
6.4Windows的取證工具和備份文件
6.4.1FTKImager
6.4.2FTK.8
6.4.3技巧和訣竅
6.5小結
第7章地理位置信息分析
7.1地圖應用程序
7.2圖片和視頻的地理標記
7.3基站數據
7.3.1GeoHunter
7.4導航應用程序
7.4.1Navigon
7.4.2TomTom
7.5小結
第8章媒體注入
8.1什么是數字版權管理（DRM）
8.1.1數字版權管理的法律要素
8.1.2案例分析：手機越獄
8.1.3案例分析：蘋果與Psystar
8.1.4案例分析：在線音樂下載
8.1.5案件分析：索尼BMG案件
8.1.6DRM的未來
8.2媒體注入
8.2.1媒體注入工具
8.3驗證鏡像
8.4小結
8.5參考文獻
第9章媒體注入分析
9.1使用Mac分析注入媒體
9.2郵件
9.2.1IMAP
9.2.2POP郵件
9.2.3Exchange
9.3數據恢復（碎片重組）
9.3.1MacForensicsLab
9.3.2AccessData取證分析套件
9.3.3FTK和圖片
9.3.4EnCase
9.4間諜軟件
9.4.1MobileSpy
9.4.2FlexiSpy
9.5小結
第10章網絡分析
10.1關于證據鏈的考慮
10.2網絡101：基礎知識
10.3網絡201：高級部分
10.3.1DHCP
10.3.2無線加密和身份認證
10.3.3取證分析
10.3.4網絡流量分析
10.4小結

3.1 美國憲法第四修正案
美國憲法第四修正案最基本的權利就是禁止“無理搜查和扣押，（Henderson,2006）。雖然Henderson以及其他很多案例都在強調這個權利，但是美國最高法院仍然解釋說，并沒有法律規定警察不能檢查你的金融記錄、電話、電子郵件、網站交易記錄。
警察進行搜查應當取得搜查證，以保證第四修正法案的個人權利不被侵犯，特殊情況除外。然而，有些搜查違背了合理的、要求保護個人隱私的期望，卻并不違法（StiUwagon,2008）。搜查證要求的免責條款包括經當事人同意、公共調查、突發事件和逮捕時進行的搜查。
一般來說，合理的隱私期望必須是“實際的隱私期望”，而且該期望必須是“被社會認可為合理的”（Stillwagon,2008）。關于手機，聯邦法院和美國司法部門把無線電子設備看做是“封閉的容器”，可以進行合法分析，并且認為，手機和其他密封容器一樣，合法逮捕時是“可搜查”的。
某些情況下，警察可以不用搜查證就進行搜查。如果警察在沒有搜查證的情況下進行搜查，觸犯了個人隱私，那么法院就必須拒絕采用本次搜查獲取的證據（Stillwagon,2008）。是否可以采用從無線設備中獲取的證據，各個法院的認定不同，因為有的法院認為手機采用的技術與尋呼機的技術相似，因此證據合理，可以被采納；另一些法院的看法則相反。
但是，法院準許對手機進行搜查的特殊情況，是針對的“逮捕附帶搜查，（Stillwagon,2008）。此類搜查必須是發生在合法逮捕的情境中，而且搜查只能在被捕嫌犯可控制的范圍內發生。逮捕之后的搜查期間，警察能夠搜查任何物品，當然也包括嫌犯可控范圍之內的手機。
兩個標志性的案件：美國Olmstead案件（277 U.S.438，1928）和Katz案件（398 U.S.347，1967），縮小了第四修正案的解釋范圍（Henderson,2006）。Olmstead案件里，法院判定政府可以監聽手機通話而不違反第四修正案。之后，Katz案件里，法院澄清第四修正案保護的不是地方，而是人。這兩個案件得出一個共同的結論：對使用手機撥通號碼與第三方交流信息，第四修正案無法滿足其合理的、保護隱私的要求。
3.2通過手機追蹤
對執法部門的工作人員來說，手機最大的優點，就是在任何時間下都可以追蹤到特定手機的位置（Henderson,2006）。如果警察能夠追蹤一部手機，也就意味著他們能夠追蹤一個人的位置。警官能夠通過追蹤手機記錄從而將一些犯罪嫌疑人與案件聯系起來（Walsh,D.,&Finz,s.,2004）。例如，在Scott Peterson謀殺案中，警官查閱了Scott Peterson的手機位置信息，公訴人依據此信息把他與犯罪現場聯系起來，最終判定他謀殺妻子的罪名成立。
美國聯邦通信委員會（FCC）于2001年啟動了一個計劃，迫使手機運營商推出一種新技術，這種技術使用多個重疊的蜂窩基站更精確地定位到手機的位置（Fletcher,F.,&Mow,L.,2002）。繼而緊急救援機構進一步運用手機追蹤技術，可幫助緊急救援人員迅速到達救援現場。警察和政府官員之后發現這個技術還有另一個用途：追蹤疑犯、進行調查、破案和檢舉犯罪（Henderson,2006）。因此，如果你不想被追蹤，那么你唯一的選擇就是不攜帶手機。