如何处理被擦除的iPhone

本文由小茆同学编译，陈裕铭、Roe校对，转载请注明。

电脑中存储的数据（Windows 或者 Mac）

iCloud存储的数据

同步设备存储的数据

• iPad

• Apple Watch

• Apple TV

• Apple HomePod

将设备连接到电脑，使用各种工具可以提取到的基本设备信息包括：

• 产品类型

• 型号名称

• 型号号码

• IMEI

• 序列号

• ECID

• iOS版本

• CPU

• 充电时长

• 电池寿命

• 蓝牙地址

• Wi-Fi地址

• 蜂窝地址

• 储存容量

• 储存使用信息

如果是易受checkm8攻击的设备，可以尝试使用取证工具或者checkra1n来获取整个文件系统。

一般情况下，不易受checkm8攻击的设备也可以尝试。当设备处于"Hello"屏幕时，可以使用物理按钮组合开始生成"sysdiagnose"（按住两个音量按钮和侧边按钮1-1.5秒）。

生成的系统诊断文件可以使用任何能够提取crash日志的工具提取。

在被擦除的设备中，最有分析价值的文件有：

①logsMobileInstallationmobile_installation.log.0（或 mobile_installation.log.1）

搜索特定字符串”Did not find last build info; we must be upgrading from pre-8.0 or this is an erase install.”

对应于擦除时间，显示为太平洋时区 (Cupertino)。

②logsMobileLockdownlockdown.log

搜索特定字符串 "_load_dict: Failed to load /private/var/root/Library/Lockdown/

data_ark.plist.".

对应于擦除时间，显示为太平洋时区 (Cupertino)。

③logsMobileContainerManagercontainermanagerd.log.0

搜索特定字符串 "containermanagerd performing first boot initialization".

对应于擦除时间，显示为太平洋时区 (Cupertino)。

④logspowerlogspowerlog_YYY-MM-HH_MM_SS_XXXXXXXX.PLSQL

它拥有PowerLog文件的内部结构 (只需将其重命名为 CurrentPowerLog.PLSQL)。它会包含有关电池级别的信息，从而发现设备是否和何时在充电。

⑤WiFiwifi_scan_cache.txt

包含设备探测到的Wi-Fi网络。其中可能包含 SSID和BSSID。

总之，即使无法恢复用户数据，但至少可以准确了解设备何时被擦除以及在生成系统诊断文件之前在其上发生了什么。如果足够幸运，可以在WiFi缓存中找到SSID和BSSID。

原文链接：

https://blog.digital-forensics.it/2021/05/oh-no-i-have-wiped-iphone-now-what.html

参考链接：

https://www.youtube.com/watch?v=PRaFTDIn1hg

https://blog.elcomsoft.com/2019/06/apple-watch-forensics-02-analysis/

https://www.forensicfocus.com/webinars/forensicating-the-apple-tv/

https://blog.elcomsoft.com/2019/09/apple-tv-forensics-03-analysis/

https://blog.digital-forensics.it/2021/01/a-journey-into-iot-forensics-episode-5.html