CN104123197A - 未持有iOS设备情况下的离线取证方法 - Google Patents
未持有iOS设备情况下的离线取证方法 Download PDFInfo
- Publication number
- CN104123197A CN104123197A CN201310149998.7A CN201310149998A CN104123197A CN 104123197 A CN104123197 A CN 104123197A CN 201310149998 A CN201310149998 A CN 201310149998A CN 104123197 A CN104123197 A CN 104123197A
- Authority
- CN
- China
- Prior art keywords
- backup
- evidence
- evidence obtaining
- file
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Landscapes
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
本发明的目的在于提供一种未持有iOS设备情况下的离线取证的方法。当取证人员需要对某一iOS设备进行取证而又未获取该iOS设备,取证人员可以转而查找曾经与该iOS设备通过iTunes同步软件连接过的PC或Mac,取证人员即可对该PC或Mac上iTunes的文件夹的内容进行解析,从而获取有关该iOS设备的相关数据。通过该方法可以给取证人员提供一种新的针对iOS设备的取证方法,克服了传统移动设备取证必须持有该移动设备的局限,实现对该iOS设备的模糊取证。
Description
技术领域
本发明涉及数字取证中移动设备取证的技术领域,特别涉及一种未持有iOS设备情况下的离线取证方法。
背景技术
移动设备通常指任何具有内部存储和通信能力的数字产品。其中手机是最普遍使用的移动设备之一,已成为人们生活中不可或缺的联系工具。据IDC最新的统计报告显示,2012年全球智能手机出货量达6.86亿部,中国占据1/4达到26.5%,成为全球智能手机出货量最大的国家。在高端智能手机市场中,苹果和三星占据90%的市场份额。截至2012年9月iPhone5 发布时,苹果销售了 4 亿台 iOS 设备,而在 iOS 6 发布之后一个月的时间里,就有 2 亿台设备运行 iOS 6。这些统计数据表明iOS设备在移动终端占有重大的市场份额,在中国乃至全世界都拥有极其庞大的用户基数。与此同时,手机犯罪现象作为高科技犯罪的一种也随之涌现。智能手机取证在刑事侦查中的应用也将越来越多,对刑事侦查的支持也越来越强。因而对智能手机取证这一领域相关理论和实践研究也显得尤为重要。
移动设备取证是数字取证的一大分支,涉及到在可靠的取证环境下的数字证据的恢复和从移动设备中的获取。而智能手机不同于普通的功能手机,它的运算能力、存储能力已经接近甚至达到传统PC的水平,不仅如此,智能手机由于其丰富的App应用极大扩张了手机所能实现的功能,App在使用中所产生的数据和用户直接相关,包含了大量的隐私数据,而传统的手机取证技术所获取的信息(短信、联系人、图片等)已尽不能满足现代刑侦的需要。目前实际应用的取证软件都只是针对iOS设备本身,即在持有某一iOS设备的情况下对该设备进行取证作业。一旦未持有某一iOS设备,则无法获取该设备的任何信息,而本发明能很好地解决上述问题。
发明内容
本发明的目的就是在取证人员未持有目标iOS设备的情形下,提供一种间接的取证方法,结合iOS设备的自身的特点和机制,利用目标iOS设备曾经连接的PC或Mac上的iOS设备的管理软件iTunes,通过对iTunes所生成的文件的解析,获取到目标iOS设备信息(IMEI、GUID等)和相对与当前时间较早或同等时间的目标iOS的设备所包含的嫌疑人敏感信息(短信、联系人、通话记录等),从而实现对目标iOS设备的模糊取证。
本发明提供一种未持有iOS设备情况下的离线取证的方法,包括:取证人员在未持有iOS设备的情况下,转而去寻求曾经与该iOS设备连接过的PC或Mac端的iTunes备份文件夹,在获取对该PC或Mac的控制后,实施针对iTunes备份文件的取证;根据不同的操作系统确定相应的iTunes备份文件夹的位置,并检测该备份文件夹内是否包含备份数据,若包含备份数据,则确定可以对该备份文件夹进行后续的取证工作,可以将PC或Mac端的存储部件作为原始证据隔离保护,亦可仅将iTunes的备份文件夹作为原始证据隔离保存,并进行MD5或SHA完整性校验,并制作备份;针对备份的iTunes备份文件夹进行解析取证操作。首先对备份进行完整性校验,与原始备份数据的MD5或SHA值进行比较,在确定一致的情况下,开始解析备份数据并记录取证实施过程;通过解析备份文件夹中的Info.plist文件,获取该备份的iOS设备的信息(设备名称、系统版本、手机号码、GUID、IMEI等)并将解析出的数据记录并生成iOS设备信息报告;通过解析备份文件夹中的Status.plist文件,获取有关该备份的信息(备份的时间、是否完全备份、UUID等)并将数据记录生成备份信息报告;通过解析备份文件夹中的Manifest.plist文件,获取所有已安装的App信息,将其中,即时通讯类App、地图/位置类App、搜索/查询类App等版本和路径信息记录,由于该类App包含大量用户数据信息,取证人员需要记录并解析其数据库文件;通过解析Manifest.mbdb和Domains.plist,将备份文件的文件名与原iOS系统中的文件全路径进行匹配,将备份的文件简单分类{基本信息(短信、联系人、通话记录)、多媒体信息(图片、音频、视频)、App信息、位置信息},并根据数据载体的类型利用利用相关软件(SQLite Expert、Plist Editor)解析查阅,并将内容生成相应的分类报告;将上述生成的分类报告汇总,经过整理,排除冗余数据,对解析提取的结果生成总结性取证报告,并根据取证过程报告复核整个取证流程有无漏洞及违规行为,最后进行证据存档和提交。
方法流程:
本发明提供一种未持有iOS设备情况下的离线取证的方法,其包括如下步骤:
1)取证人员在确定某一iOS设备连接过的PC或Mac端后,采取现场证据保护措施,并记录现场,并且检测该PC或Mac是否已经安装iTunes。
2)根据不同的操作系统确定相应的iTunes备份文件夹的位置,并检测该备份文件夹内是否包含备份数据,若包含备份数据,则确定可以对该备份文件夹进行后续的取证工作,可以将PC或Mac端的存储部件作为原始数据源隔离保护,亦可将涉案PC或Mac作为原始数据源隔离封存,并进行MD5或SHA完整性校验,并制作多份备份以供取证人员分析。
3)任何分析或提取工作都只能在原始数据源的备份上进行取证操作。在开始取证操作之前,首先要对备份进行完整性校验,与原始数据的MD5或SHA值进行比较,在确定一致的情况下,开始解析备份数据。同时对实施取证人员做好信息记录,并录入取证方案及步骤,生成取证过程报告。
4)通过解析备份文件夹中的Info.plist文件,获取该备份的iOS设备的信息(设备名称、系统版本、手机号码、GUID、IMEI等)并将解析出的数据记录并生成iOS设备信息报告。
5)通过解析备份文件夹中的Status.plist文件,获取有关该备份的信息(备份的时间、是否完全备份、UUID等)并将数据记录生成备份信息报告。
6)通过解析备份文件夹中的Manifest.plist文件,获取所有已安装的App信息,将其中,即时通讯类App、地图/位置类App、搜索/查询类App等版本和路径信息记录,由于该类App包含大量用户数据信息,取证人员需要记录并解析其数据库文件。
7)通过解析Manifest.mbdb和Domains.plist,将备份文件的文件名与原iOS系统中的文件全路径进行匹配,将备份的文件简单分类{基本信息(短信、联系人、通话记录)、多媒体信息(图片、音频、视频)、App信息、位置信息},并根据数据载体的类型利用相关软件(SQLite Expert、Plist Editor)进行解析查阅,并将内容生成相应的分类报告。
8)将步骤7生成的报告汇总,经过整理,排除冗余数据,生成总结性取证报告,并将上述取证调查过程的记录报告汇总,并进行复核工作,检查每个取证实施环节是否存在漏洞及有无违反法律法规,针对某一可疑的取证结论及取证流程,可参考该取证过程的记录报告,可在数据源的冗余备份上复现记录的取证过程或重新实施新的取证方案。复核工作结束后,将报告存档,最后进行证据提交司法机关。
1. 取证方法应用前提条件
iTunes是由Apple公司开发的供 Mac 和 PC 使用的一款免费应用程序,能管理和播放用户的数字音乐和视频,更重要是它是Apple公司官方提供的管理iOS设备的多媒体文件、App、同步、备份、恢复、更新iOS版本等功能的管理软件。由于iOS系统本身的非开源和封闭性,对于原生的(未越狱)iOS设备在连接到PC上的时候,PC本身是无法直接读取iOS设备的文件系统,只能读取到多媒体文件夹,而且iOS设备用户无法通过PC端的拷贝、剪切、粘贴等功能来实现对多媒体文件的管理,必须通过iTunes软件来实现对iOS设备的管理,通过iTunes的同步功能,由于iTunes的设计本身遵从Apple的同步协议(Apple’s synchronization protocol),可以将PC或Mac上的多媒体文件同步到iOS设备中去。因此iOS设备用户一定会在其PC或Mac端安装iTunes软件以管理其iOS设备。iOS设备一旦连接上已安装iTunes的PC或Mac,iTunes软件就会自动提示用户手动或设置自动同步iTunes的多媒体资料库,而在同步的过程中或iOS设备升级、更新iOS版本、恢复iOS系统的时候,iTunes就会自动的运行备份iOS设备的功能来防止上述功能因连接中断或系统运行错误而导致的数据丢失,若出现错误,iTunes还可以从设备中将iOS设备恢复。因此iTunes运行的过程中将产生大量的与其相连接过的iOS设备的数据,其中最主要的就是iTunes文件夹中的备份数据,通过获取和解析该文件的内容即可以间接的对该iOS设备进行取证作业,获取该设备的大量信息。
2. 因此基于以上论述,本发明取证方法的应用前提就是当取证人员需要对某一iOS设备进行取证而未持有该iOS设备的情况下,取证人员可以转而获取与该iOS设备连接过的PC或Mac,确认该PC或Mac上安装有iTunes软件,即可实施取证过程。iTunes备份数据的存储位置及数据源取证价值
iOS设备通过iTunes执行备份功能后,其存储的iOS备份的文件夹的位置因操作系统而异。iTunes 将备份文件存放在以下位置(以下信息摘自Apple官方网站,以Apple官方网站最新公布信息为准):
l Mac:Users/<user name>/Library/Application Support/MobileSync/Backup/
l Windows XP:\Documents and Settings\(用户名)\Application Data\Apple Computer\MobileSync\Backup\
l Windows Vista 和 Windows 7: \用户\(用户名)\AppData\Roaming\Apple Computer\MobileSync\Backup\
在Windows操作系统下,在存储路径中,由于AppData文件夹是隐藏文件夹,因此取证人员需要手工查找的话,需要在“文件夹和搜索选项”中“查看”的属性页的“隐藏文件和文件夹”设置为显示,才可以看见该文件夹,因此备份文件夹的存储路径是iTunes软件自行默认设定的,用户无法修改,其在不同的操作系统中的存储位置固定。
目前移动设备取证领域中对iOS设备的数据获取主要有三种方法,第一种方法是物理获取(Physical Acquisition),通过按位拷贝整个iOS设备的存储芯片。该方法类似与磁盘镜像,可以获取iOS设备的存储器的物理镜像。但从iOS4开始,iOS设备采用了更加严格的安全机制硬加密,导致镜像下来的数据还是加密后的,且操作复杂,耗时较长;第二种方法是逻辑获取(Logical Acquisition),通过Apple的同步协议,将iOS设备的文件系统备份下来而不仅仅备份某些特定的数据,从而获取一个逻辑镜像。该方法易于实施,获取到的镜像数据也可以迅速用来解析,但该方法在备份大量用户数据的同时也备份了大量的系统数据,且耗时也较长。第三种方法是备份获取(Backup Acquisition),即通过iTunes软件来备份iOS设备,然后在对备份文件进行解析。iTunes所备份的具体内容可以通过浏览Apple官方网站(http://support.apple.com/kb/ht4946?viewlocale=zh_CN)或见附图1。由于iTunes的备份功能使用Apple同步协议,并用作在iOS系统不正常工作时的恢复备份,亦可从附图1所示,该备份功能备份了原iOS设备的所有用户数据包括多媒体文件、短信、联系人、通话记录、Safari 浏览记录、App数据等和可唯一标识该iOS设备的系统文件。因此备份的数据量所包含的用户数据从取证角度说都是具有价值的,作为有效的诉讼证据。但该方法具有一定程度的缺陷,由于取证人员未持有某一iOS设备,那么采用该方法取证所得数据只能证明这些数据在备份的日期之前存在与该iOS设备中,与该iOS设备此刻所含有的数据具有一个时间差,从iOS设备的备份日期到现在这段时间所产生的数据,利用该方法无法获取,因此,称之为对iOS设备的模糊取证。
3. 解析iTunes的备份数据
iTunes所备份的文件在保存到PC或Mac中时,是以40位十六进制作为文件名,并且没有文件后缀名,在文件类型一栏显示为“文件”,例如某一备份文件文件名为:3d0d7e5fb2ce288813306e4d4636395e047a3d28。因此,我们无法直接通过备份文件的文件名或文件属性来判断该文件在原iOS设备中是什么类型的文件,从而也无法获取其文件内容。而iTunes的备份文件的文件名的产生原理是将Domain和备份文件在原iOS设备中的路径通过‘-’符号链接作为原字符串数据进行SHA1算法加密生成40位的十六进制值作为文件名,即:Domain-路径。Domain 是iOS文件系统的一个“域”概念,用来简单标识iOS设备中文件所属哪个Domain,iOS主要包含以下几个域:HomeDomain、RootDomain、BookDomain、MediaDomain、MobileDeviceDomain、KeychainDomain等,所有的Domain的定义都包含在iOS系统中的/System/Library/Backup/Domains.plist file 中。例如,短信、联系人、通话记录等SQLite数据库文件皆属于HomeDomain,图片、音频文件都属于MediaDomain。
上文中举例的文件名(3d0d7e5fb2ce288813306e4d4636395e047a3d28)就是由:HomeDomain-Libiary/SMS/sms.db 为原字符串经过SHA1算法加密而成,该文件在原iOS系统中的文件名就是sms.db,即短信库文件。因此,取证人员就可以利用该原理,将iTunes的备份文件的文件名全部相应的识别为iOS设备中所对应的文件路径和文件名,从而加以提取特定的包含用户数据的文件进行解析取证。
除此之外,iTunes的备份文件中还包含四个未采用上述原理生成文件名的文件,分别是:Info.plist、Manifest.plist 、Status.plist、Manifest.mbdb。Info.plist文件包含了备份的iOS设备的信息包括:设备名称、系统版本、手机号码、GUID、IMEI、最后一次备份时间等。Status.plist文件记录了这次备份的信息包括:备份时间、UUID、是否全部备份等信息。Manifest.plist文件记录了iOS设备的所有已安装的App的信息、是否加密等信息。Manifest.mbdb文件记录了所有备份文件的路径、大小、所属域等信息。通过对以上四个文件的解析,取证人员亦可获取大量有关此次备份的iOS设备的信息及备份本身的信息。
iOS设备的数据载体主要为SQLite数据库、Plist文件、多媒体数据。SQLite为小型开源数据库,iOS设备中的短信、联系人、通话记录、日历、记事本、App用户数据等都是存储在SQLite数据库中,取证人员可以在PC或Mac通过SQLite Expert 软件来查阅数据库存储的信息。Plist(Property List)文件类似于XML文件,主要存储系统配置信息和用户设置数据及记录信息,如Safari浏览记录、Google地图记录都是存储在Plist文件中,取证人员可以在PC或Mac中通过Plist Editor 软件来查看存储的信息。多媒体文件iOS系统未作特殊处理,备份后,直接打开即可。
有益效果:
本发明的取证方法是在未持有某一iOS设备的情况下,通过解析曾经与该iOS设备连接过的PC或Mac端的iTunes的备份文件夹,来获取接近于当前时间的iOS设备所包含的信息,就信息量本身而言,正常情况下其获取的信息与持有该iOS设备进行取证的所获取的信息中会有大量的信息一致,取证的结果的就是某iOS设备从备份之时间起到取证的时间间隔的越短,则iOS设备在使用中产生的新的数据越少,代表取证的结果越接近甚至等同在持有该iOS设备情况下的取证结果。本发明方法一定程度上规避了传统移动取证方法在未持有iOS设备时,无法获取任何有关该iOS设备的信息的缺陷,在符合应用条件下实现了对iOS设备的模糊取证。
附图说明
图 1 Apple官方关于iTunes备份内容列表。
图 2 解析iTunes文件夹的流程图。
具体实施方式
请参阅图2,首先取证人员先要根据技术方案中所诉的该取证方法的应用前提,在确定符合应用前提的条件下,开始取证工作。
本发明提供一种未持有iOS设备情况下的离线取证的方法,其包括如下步骤:
1)取证人员在确定某一iOS设备连接过的PC或Mac端后,采取现场证据保护措施,并记录现场,并且检测该PC或Mac是否已经安装iTunes。
2)根据不同的操作系统确定相应的iTunes备份文件夹的位置,并检测该备份文件夹内是否包含备份数据,若包含备份数据,则确定可以对该备份文件夹进行后续的取证工作,可以将PC或Mac端的存储部件作为原始数据源隔离保护,亦可将涉案PC或Mac作为原始数据源隔离封存,并进行MD5或SHA完整性校验,并制作多份备份以供取证人员分析。
3)任何分析或提取工作都只能在原始数据源的备份上进行取证操作。在开始取证操作之前,首先要对备份进行完整性校验,与原始数据的MD5或SHA值进行比较,在确定一致的情况下,开始解析备份数据。同时对实施取证人员做好信息记录,并录入取证方案及步骤,生成取证过程报告。
4)通过解析备份文件夹中的Info.plist文件,获取该备份的iOS设备的信息(设备名称、系统版本、手机号码、GUID、IMEI等)并将解析出的数据记录并生成iOS设备信息报告。
5)通过解析备份文件夹中的Status.plist文件,获取有关该备份的信息(备份的时间、是否完全备份、UUID等)并将数据记录生成备份信息报告。
6)通过解析备份文件夹中的Manifest.plist文件,获取所有已安装的App信息,将其中,即时通讯类App、地图/位置类App、搜索/查询类App等版本和路径信息记录,由于该类App包含大量用户数据信息,取证人员需要记录并解析其数据库文件。
7)通过解析Manifest.mbdb和Domains.plist,将备份文件的文件名与原iOS系统中的文件全路径进行匹配,将备份的文件简单分类{基本信息(短信、联系人、通话记录)、多媒体信息(图片、音频、视频)、App信息、位置信息},并根据数据载体的类型利用相关软件(SQLite Expert、Plist Editor)进行解析查阅,并将内容生成相应的分类报告。
8)将步骤7生成的报告汇总,经过整理,排除冗余数据,生成总结性取证报告,并将上述取证调查过程的记录报告汇总,并进行复核工作,检查每个取证实施环节是否存在漏洞及有无违反法律法规,针对某一可疑的取证结论及取证流程,可参考该取证过程的记录报告,可在数据源的冗余备份上复现记录的取证过程或重新实施新的取证方案。复核工作结束后,将报告存档,最后进行证据提交司法机关。
Claims (9)
1.一种未持有iOS设备情况下的离线取证的方法,其特征在于:包括:取证人员在未持有iOS设备的情况下,转而去寻求曾经与该iOS设备连接过的PC或Mac端的iTunes备份文件夹,在获取对该PC或Mac的控制后,实施针对iTunes备份文件的取证。
2.根据权利要求1所述的一种未持有iOS设备情况下的离线取证的方法,其特征在于:根据不同的操作系统确定相应的iTunes备份文件夹的位置,并检测该备份文件夹内是否包含备份数据,若包含备份数据,则确定可以对该备份文件夹进行后续的取证工作,可以将PC或Mac端的存储部件作为原始证据隔离保护,亦可仅将iTunes的备份文件夹作为原始证据隔离保存,并进行MD5或SHA完整性校验,并制作备份。
3.根据权利要求2所述的一种未持有iOS设备情况下的离线取证的方法,其特征在于:针对备份的iTunes备份文件夹进行解析取证操作;首先对备份进行完整性校验,与原始备份数据的MD5或SHA值进行比较,在确定一致的情况下,开始解析备份数据并记录取证实施过程。
4.根据权利要求3所述的一种未持有iOS设备情况下的离线取证的方法,其特征在于:通过解析备份文件夹中的Info.plist文件,获取该备份的iOS设备的信息(设备名称、系统版本、手机号码、GUID、IMEI等)并将解析出的数据记录并生成iOS设备信息报告。
5.根据权利要求3所述的一种未持有iOS设备情况下的离线取证的方法,其特征在于:通过解析备份文件夹中的Status.plist文件,获取有关该备份的信息(备份的时间、是否完全备份、UUID等)并将数据记录生成备份信息报告。
6.根据权利要求3所述的一种未持有iOS设备情况下的离线取证的方法,其特征在于:通过解析备份文件夹中的Manifest.plist文件,获取所有已安装的App信息,将其中,即时通讯类App、地图/位置类App、搜索/查询类App等版本和路径信息记录,由于该类App包含大量用户数据信息,取证人员需要记录并解析其数据库文件。
7.根据权利要求3所述的一种未持有iOS设备情况下的离线取证的方法,其特征在于:通过解析Manifest.mbdb和Domains.plist,将备份文件的文件名与原iOS系统中的文件全路径进行匹配,将备份的文件简单分类{基本信息(短信、联系人、通话记录)、多媒体信息(图片、音频、视频)、App信息、位置信息},并根据数据载体的类型利用利用相关软件(SQLite Expert、Plist Editor)解析查阅,并将内容生成相应的分类报告。
8.根据权利要求4、5、6、7任一权利要求所述的一种未持有iOS设备情况下的离线取证的方法,其特征在于:将生成的分类报告汇总,经过整理,排除冗余数据,对解析提取的结果生成总结性取证报告,并根据取证过程报告复核整个取证流程有无漏洞及违规行为,最后进行证据存档和提交。
9.一种未持有iOS设备情况下的离线取证的方法,其特征在于,包括如下步骤:
1)取证人员在确定某一iOS设备连接过的PC或Mac端后,采取现场证据保护措施,并记录现场,并且检测该PC或Mac是否已经安装iTunes;
2)根据不同的操作系统确定相应的iTunes备份文件夹的位置,并检测该备份文件夹内是否包含备份数据,若包含备份数据,则确定可以对该备份文件夹进行后续的取证工作,可以将PC或Mac端的存储部件作为原始数据源隔离保护,亦可将涉案PC或Mac作为原始数据源隔离封存,并进行MD5或SHA完整性校验,并制作多份备份以供取证人员分析;
3)任何分析或提取工作都只能在原始数据源的备份上进行取证操作;在开始取证操作之前,首先要对备份进行完整性校验,与原始数据的MD5或SHA值进行比较,在确定一致的情况下,开始解析备份数据;同时对实施取证人员做好信息记录,并录入取证方案及步骤,生成取证过程报告;
4)通过解析备份文件夹中的Info.plist文件,获取该备份的iOS设备的信息(设备名称、系统版本、手机号码、GUID、IMEI等)并将解析出的数据记录并生成iOS设备信息报告;
5)通过解析备份文件夹中的Status.plist文件,获取有关该备份的信息(备份的时间、是否完全备份、UUID等)并将数据记录生成备份信息报告;
6)通过解析备份文件夹中的Manifest.plist文件,获取所有已安装的App信息,将其中,即时通讯类App、地图/位置类App、搜索/查询类App等版本和路径信息记录,由于该类App包含大量用户数据信息,取证人员需要记录并解析其数据库文件;
7)通过解析Manifest.mbdb和Domains.plist,将备份文件的文件名与原iOS系统中的文件全路径进行匹配,将备份的文件简单分类{基本信息(短信、联系人、通话记录)、多媒体信息(图片、音频、视频)、App信息、位置信息},并根据数据载体的类型利用相关软件(SQLite Expert、Plist Editor)进行解析查阅,并将内容生成相应的分类报告;
8)将步骤7生成的报告汇总,经过整理,排除冗余数据,生成总结性取证报告,并将上述取证调查过程的记录报告汇总,并进行复核工作,检查每个取证实施环节是否存在漏洞及有无违反法律法规,针对某一可疑的取证结论及取证流程,可参考该取证过程的记录报告,可在数据源的冗余备份上复现记录的取证过程或重新实施新的取证方案;复核工作结束后,将报告存档,最后进行证据提交司法机关。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201310149998.7A CN104123197B (zh) | 2013-04-25 | 2013-04-25 | 未持有iOS设备情况下的离线取证方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201310149998.7A CN104123197B (zh) | 2013-04-25 | 2013-04-25 | 未持有iOS设备情况下的离线取证方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN104123197A true CN104123197A (zh) | 2014-10-29 |
CN104123197B CN104123197B (zh) | 2017-05-24 |
Family
ID=51768618
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201310149998.7A Active CN104123197B (zh) | 2013-04-25 | 2013-04-25 | 未持有iOS设备情况下的离线取证方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN104123197B (zh) |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104517222A (zh) * | 2014-12-15 | 2015-04-15 | 小米科技有限责任公司 | 智能硬件商品的置顶展示方法及装置 |
CN105740390A (zh) * | 2016-01-27 | 2016-07-06 | 四川秘无痕信息安全技术有限责任公司 | 一种逆向提取plist格式数据的方法 |
CN106776883A (zh) * | 2016-11-30 | 2017-05-31 | 四川秘无痕信息安全技术有限责任公司 | 一种解析ios10备份数据的方法 |
CN106844106A (zh) * | 2017-02-06 | 2017-06-13 | 四川秘无痕信息安全技术有限责任公司 | 一种解析黑莓手机备份文件的方法 |
CN108268346A (zh) * | 2018-02-13 | 2018-07-10 | 苏州龙信信息科技有限公司 | 数据备份方法、装置、设备及存储介质 |
CN111343231A (zh) * | 2020-01-22 | 2020-06-26 | 奇安信科技集团股份有限公司 | 一种即时通信的数据提取方法、装置、计算机系统及可读存储介质 |
CN111814141A (zh) * | 2020-09-15 | 2020-10-23 | 浙江数秦科技有限公司 | 一种基于区块链的离线过程取证与存证方法 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102736962A (zh) * | 2012-06-07 | 2012-10-17 | 深圳市万兴软件有限公司 | 一种恢复数据的方法、装置 |
CN102761623A (zh) * | 2012-07-26 | 2012-10-31 | 北京奇虎科技有限公司 | 资源自适配下载方法、系统、数据存储服务器、以及通信系统 |
-
2013
- 2013-04-25 CN CN201310149998.7A patent/CN104123197B/zh active Active
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102736962A (zh) * | 2012-06-07 | 2012-10-17 | 深圳市万兴软件有限公司 | 一种恢复数据的方法、装置 |
CN102761623A (zh) * | 2012-07-26 | 2012-10-31 | 北京奇虎科技有限公司 | 资源自适配下载方法、系统、数据存储服务器、以及通信系统 |
Non-Patent Citations (3)
Title |
---|
SEAN MORRISSEY: "《iOS Forensic Analysis》", 31 December 2011 * |
李柏岚等: "《iOS备份机制中隐私威胁问题的分析》", 《通信技术》 * |
陈佳霖等: "《iOS系统数据安全研究》", 《信息安全与通信保密》 * |
Cited By (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104517222A (zh) * | 2014-12-15 | 2015-04-15 | 小米科技有限责任公司 | 智能硬件商品的置顶展示方法及装置 |
CN105740390A (zh) * | 2016-01-27 | 2016-07-06 | 四川秘无痕信息安全技术有限责任公司 | 一种逆向提取plist格式数据的方法 |
CN106776883A (zh) * | 2016-11-30 | 2017-05-31 | 四川秘无痕信息安全技术有限责任公司 | 一种解析ios10备份数据的方法 |
CN106844106A (zh) * | 2017-02-06 | 2017-06-13 | 四川秘无痕信息安全技术有限责任公司 | 一种解析黑莓手机备份文件的方法 |
CN108268346A (zh) * | 2018-02-13 | 2018-07-10 | 苏州龙信信息科技有限公司 | 数据备份方法、装置、设备及存储介质 |
CN108268346B (zh) * | 2018-02-13 | 2021-03-30 | 苏州龙信信息科技有限公司 | 数据备份方法、装置、设备及存储介质 |
CN111343231A (zh) * | 2020-01-22 | 2020-06-26 | 奇安信科技集团股份有限公司 | 一种即时通信的数据提取方法、装置、计算机系统及可读存储介质 |
CN111814141A (zh) * | 2020-09-15 | 2020-10-23 | 浙江数秦科技有限公司 | 一种基于区块链的离线过程取证与存证方法 |
Also Published As
Publication number | Publication date |
---|---|
CN104123197B (zh) | 2017-05-24 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN104123197A (zh) | 未持有iOS设备情况下的离线取证方法 | |
Bader et al. | iPhone 3GS forensics: Logical analysis using apple iTunes backup utility | |
Al-Sabaawi et al. | A comparison study of android mobile forensics for retrieving files system | |
CN102331957B (zh) | 文件备份的方法及装置 | |
CN109522290A (zh) | 一种HBase数据块恢复及数据记录提取方法 | |
US11513812B2 (en) | Targeted data extraction system and method | |
Quick et al. | Forensic analysis of the android file system YAFFS2 | |
Odom et al. | Forensic inspection of sensitive user data and artifacts from smartwatch wearable devices | |
CN102750204A (zh) | 一种恢复数据的方法、装置 | |
CN102693233B (zh) | 一种实现电子书签的方法及装置 | |
Lohiya et al. | Survey on mobile forensics | |
Dweikat et al. | Digital Forensic Tools Used in Analyzing Cybercrime | |
US9081735B2 (en) | Collaborative information source recovery | |
Chang et al. | Jailbroken iPhone forensics for the investigations and controversy to digital evidence | |
Carpene | Looking to iPhone backup files for evidence extraction | |
Wan et al. | Survey of digital forensics technologies and tools for Android based intelligent devices | |
Rongen et al. | Extraction and forensic analysis of artifacts on wearables | |
Su et al. | Key technologies for mobile phone forensics and application | |
Decusatis et al. | Methodology for an open digital forensics model based on CAINE | |
Kala et al. | A framework for digital forensics in i-devices: Jailed and jail broken devices | |
Hay et al. | Evaluating digital forensic options for the apple ipad | |
Akkaladevi et al. | Efficient forensic tools for handheld device: a comprehensive perspective | |
CN112711768B (zh) | 一种基于人工智能的核心数据轨迹画像生成方法及系统 | |
CN111079199B (zh) | 基于区块链技术的企业信用数据截图防篡改方法 | |
Carranza et al. | Software validation and daubert standard compliance of an open digital forensics model |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |