iPhone备份：5大默认密码

尽管有多种方法可以从iPhone中提取数据，但iOS备份仍然是主要的证据来源。无论iPhone型号和iOS版本如何，几乎总是可以从设备中提取备份，但前提是设备已解锁，或者你可以解锁。我们发表了几十篇关于iTunes备份的文章，如果你不熟悉这个话题，那我建议你可以先了解iPhone备份的相关知识（文末附链接）

我们把“iTunes”这个词加引号，只是因为从macOS Catalina开始，macOS就没有iTunes了(macOS Big Sur也是如此)。在这些新版macOS中，备份是通过Finder创建的。无论你使用Finder还是旧的iTunes应用程序，从设备上获取的数据都没有区别。

大多数取证软件包都避免使用术语“备份”。相反，他们更喜欢称其为“逻辑获取”或“逻辑提取”，有时称为“高级”或“扩展”，有时甚至称为“方法N”。与Android逻辑提取相比，iPhone的一切都简单得多。高级逻辑/扩展采集/提取（无论他们怎么称呼）可能包含以下数据：

· 通用设备信息(型号、名称和一些其他参数)

· 备份（iTunes风格）

· 媒体文件（照片、视频和音乐，包含一些元数据）

· 共享文件

· 诊断日志

备份通常是包含设备中大部分数据的主要证据来源。

备份密码1

正如我们已经解释过的，备份通常受密码保护。那这里有两个不同的问题：

· 如果设备所有者已经配置了备份密码而你不知道，这将是一个问题。

· 如果未设置备份密码，则需要自行设置。

这两个问题都需要解释。但让我们先回顾一下Apple对备份密码所做的更改：

· iOS 9.x之前（包含9.x）：密码可被有效攻击

· iOS 10.0：弱密码备份，有执行漏洞，攻击速度非常快

· iOS 10.1：漏洞修复，回到iOS 9的保护级别

· iOS 10.2：非常强的密码加密，攻击速度非常慢

· iOS 11：允许在设置中重置备份密码（会产生一些后果）

· iOS 13：修改备份密码需要输入密码

问题是有密码保护的备份比没有密码的备份包含更多的数据。谈到钥匙串，即使钥匙串的记录一直存在，我们也只能在设置并知道密码的情况下从备份中解密它们。

简而言之，如果没有其他提取选项，你只能提取备份，那么你需要设置（并知道）备份密码。

备份密码2

早在2016年，我们意识到如果没有设置备份密码，我们只需要自己设置，然后提取数据，最后删除临时密码即可。特别是：

我们知道如何处理加密数据。如果未设置备份密码，钥匙串将使用一个不可破解的硬件密钥进行安全加密。因此，在没有备份密码的情况下获取设备时，我们会自动设置一个临时密码（“123”）。（我们将在提取后将其重置）这让我们能够对无法访问的钥匙串数据进行解密。

64位设备（iPhone 5s、6/6s/Plus）中引入的Secure Enclave有效地将我们拒之门外，无论越狱状态如何，都无法访问硬件密钥。因此，物理获取过程可以提取但无法解密钥匙串，而没有密码的钥匙串数据备份同样无法访问。

我们通过使用iOS Forensic Toolkit在执行逻辑获取时设置临时密码(“123”)来解决这个问题。提取完成后，密码将重置为初始状态。由于受密码保护的iOS备份允许访问钥匙串，因此可以使用该密码成功解密钥匙串数据。

实际上还有更多——在每个新的iOS版本中，Apple只会将更多数据放入受密码保护的备份中（例如Safari浏览历史记录、健康记录等）。

macOS Big Sur中的备份

我们试图跟踪备份引擎的每一次更改，主要是在iOS设备上，而不是在主机系统（Windows或macOS）上。在macOS Big Sur中，备份加密选项确实令人困惑：

如果你切换到本地备份，你会得到以下结果：

请改用iOS Forensic Toolkit（如果你正在进行备份提取），我们将在我们的终端处理备份密码，以确保你可以获得大部分数据。

默认备份密码

以我们为例，其他移动设备取证供应商也开始设置临时备份密码。这是一个很好的举措。

以下是各种取证软件包设置的默认备份密码：

· Elcomsoft iOS Forensic Toolkit: 123

· Cellebrite UFED: 1234

· MSAB XRY: 1234

· Belkasoft Evidence Center: 12345

· Oxygen Forensic Detective: oxygen

· Magnet AXIOM: mag123

如果您正在分析通过所谓的“逻辑获取”获得的密码保护备份，但不知道密码是什么，请先尝试列表中的一个。如果它不起作用，你也可以尝试设备密码（你应该知道）或Apple ID的密码（令人惊讶的是，它经常起作用）。