如何处理被擦除的iPhone

admin 2022年4月9日23:20:17安全闲碎评论26 views2101字阅读7分0秒阅读模式
如何处理被擦除的iPhone
如何处理被擦除的iPhone

本文由小茆同学编译,陈裕铭、Roe校对,转载请注明。

如果在调查和搜证期间找到一部被擦除过的iPhone手机,应该如何处理呢?

如何处理被擦除的iPhone

首先也是很重要的一点,如果无法在iPhone被擦除前恢复设备中存储的数据,那么解密所需的加密密钥将会永远消失。但是,假使设备被擦除已成既定事实,我们该如何处理?本文将带你了解三种可供尝试的方法。

如何处理被擦除的iPhone

电脑中存储的数据(Windows 或者 Mac)

你可以在电脑中搜索:

①Lockdown certificates

  • C:ProgramDataAppleLockdown

②iOS Backups

  • C:Users\AppDataRoamingApple ComputerMobileSyncBackup

  • C:Users\AppleMobileSyncBackup

③Synced CrashLogs

  • C:Users\AppDataRoamingApple ComputerLogsCrashReporterMobileDevice

④MediaStream

  • C:Users\AppDataRoamingAppleComputerMediaStream

⑤iPodDevices.xml

  • C:Users\AppDataLocalAppleComputeriTunesiPodDevices.xml

如何处理被擦除的iPhone

iCloud存储的数据

  • iCloud备份

  • 同步数据 (例如 联系人, 照片, 短信)

  • 钥匙串

如何处理被擦除的iPhone

同步设备存储的数据

  • iPad

  • Apple Watch

  • Apple TV

  • Apple HomePod

将设备连接到电脑,使用各种工具可以提取到的基本设备信息包括:

  • 产品类型

  • 型号名称

  • 型号号码

  • IMEI

  • 序列号

  • ECID

  • iOS版本

  • CPU

  • 充电时长

  • 电池寿命

  • 蓝牙地址

  • Wi-Fi地址

  • 蜂窝地址

  • 储存容量

  • 储存使用信息

如果是易受checkm8攻击的设备,可以尝试使用取证工具或者checkra1n来获取整个文件系统。

一般情况下,不易受checkm8攻击的设备也可以尝试。当设备处于"Hello"屏幕时,可以使用物理按钮组合开始生成"sysdiagnose"(按住两个音量按钮和侧边按钮1-1.5秒)。

生成的系统诊断文件可以使用任何能够提取crash日志的工具提取。

如何处理被擦除的iPhone

在被擦除的设备中,最有分析价值的文件有:

①logsMobileInstallationmobile_installation.log.0(或 mobile_installation.log.1)

搜索特定字符串”Did not find last build info; we must be upgrading from pre-8.0 or this is an erase install.”

如何处理被擦除的iPhone

对应于擦除时间,显示为太平洋时区 (Cupertino)。

②logsMobileLockdownlockdown.log

搜索特定字符串 "_load_dict: Failed to load /private/var/root/Library/Lockdown/

data_ark.plist.".

如何处理被擦除的iPhone

对应于擦除时间,显示为太平洋时区 (Cupertino)。

如何处理被擦除的iPhone

③logsMobileContainerManagercontainermanagerd.log.0

搜索特定字符串 "containermanagerd performing first boot initialization".

对应于擦除时间,显示为太平洋时区 (Cupertino)。

如何处理被擦除的iPhone

④logspowerlogspowerlog_YYY-MM-HH_MM_SS_XXXXXXXX.PLSQL

它拥有PowerLog文件的内部结构 (只需将其重命名为 CurrentPowerLog.PLSQL)。它会包含有关电池级别的信息,从而发现设备是否和何时在充电。

⑤WiFiwifi_scan_cache.txt

包含设备探测到的Wi-Fi网络。其中可能包含 SSID和BSSID。

总之,即使无法恢复用户数据,但至少可以准确了解设备何时被擦除以及在生成系统诊断文件之前在其上发生了什么。如果足够幸运,可以在WiFi缓存中找到SSID和BSSID。

原文链接:

https://blog.digital-forensics.it/2021/05/oh-no-i-have-wiped-iphone-now-what.html

参考链接:

https://www.youtube.com/watch?v=PRaFTDIn1hg

https://blog.elcomsoft.com/2019/06/apple-watch-forensics-02-analysis/

https://www.forensicfocus.com/webinars/forensicating-the-apple-tv/

https://blog.elcomsoft.com/2019/09/apple-tv-forensics-03-analysis/

https://blog.digital-forensics.it/2021/01/a-journey-into-iot-forensics-episode-5.html

如何处理被擦除的iPhone
如何处理被擦除的iPhone

原文始发于微信公众号(数据安全与取证):如何处理被擦除的iPhone

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年4月9日23:20:17
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  如何处理被擦除的iPhone http://cn-sec.com/archives/891805.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: