如何從iOS中捕獲TAR文件

自從iPhone 5s(蘋果首款64位iPhone)問世以來，物理取證就變得異常困難。對於配備Apple 64位處理器的所有iPhone和iPad設備，由於它們採取了全磁碟加密技術，物理取證只能通過文件系統提取進行。即使經過越獄的設備，也必須在設備上運行tarball命令才能繞過加密。由於文件系統映像是由iOS捕獲和打包的，因此無論執行物理取證時，使用何種工具。你都會得到完全相同的TAR文件。無論你使用的是iOS Forensic Toolkit工具還是GrayKey（一個破解iPhone的工具），你都會獲取與設備文件系統映像完全相同的TAR文檔。

雖然TAR只是UNIX操作系統中的未壓縮文檔，但這對於移動取證專家來說，卻是非常重要的。

TAR文件包含一些什麼信息？

使用Elcomsoft Phone Viewer，取證人員可以訪問通話記錄，聯繫人和消息資料庫，通知，瀏覽記錄以及當然位置數據。

使用Elcomsoft Phone Viewer，除了你在備份文檔中看到的內容之外，你還可以獲得以下所有的內容。

1.通知內容：在iOS 11之前，那些未被刪除的通知也會出現在備份文件中，但在iOS 11之後，備份文件中是不會保留它們的。

2.應用信息：在iOS中，開發人員可以控制要備份的信息。即使他們選擇允許備份開發人員也可能選擇只對同一台設備提供數據，這意味著應用將使用硬體密鑰進行加密，即使進行越獄也不可能破解。TAR文件可以通過允許不受限制的訪問應用程序的沙盒數據，來解決此問題。 Elcomsoft Phone Viewer會顯示已安裝的軟體包列表，並顯示每個應用程序數據的確切位置。

3.位置信息：與備份信息相比，你可以在TAR文件中看到更多的位置數據。

說到位置，Elcomsoft Phone Viewer 3.70可以從大量的信息來源中提取位置數據。目前位置信息來源包括：重要的位置點、3G / LTE / Wi-Fi連接緩存中的位置信息、Apple地圖、谷歌地圖、 媒體文件中的EXIF、日曆活動記錄、UBER應用程序。

通過訪問從各種來源收集的位置數據，你不再僅限於從位置日誌收集的證據。不過有些信息來源僅適用於物理提取（比如TAR文件），並且某些數據在分析備份時可能會受到限制。

在分析位置數據時，請注意，你不能盲目信任Elcomsoft Phone Viewer 3.70工具所獲取的報告的所有內容。例如，該工具將從設備上的所有映像中提取位置信息，而不僅僅是該設備捕獲的映像。使用該工具的用戶可以以電子郵件或即時消息附件的形式接收映像，並且日曆活動記錄可以自動添加，而無需用戶設置。緩存的位置信息則會列出最近的基站的近似坐標，而Wi-Fi坐標是基於訪問點的MAC地址的第三方服務檢索的，這個數據的準確性，目前還存在爭論。最後，Apple地圖和谷歌地圖的位置信息，都是用閉源演算法得出的。儘管沒有時間戳，但是，Apple地圖和谷歌地圖的位置信息還是用戶實際位置的更可靠指標之一。

如何使Elcomsoft Phone Viewer 3.70分析TAR文件？

有了足夠的理論，讓我們看看如何在最新的Elcomsoft Phone Viewer 3.70中打開的TAR文件。

標準版無法打開TAR文件，很明顯，你還需要使用Elcomsoft iOS Forensic Toolkit或GrayKey在物理提取過程中獲得的TAR文件。

啟動Elcomsoft Phone Viewer 3.70，與以前的版本相比，你會看到一個新的圖標，顯示「iOS設備映像」，點擊它打開一個TAR文件。

選擇TAR文件，打開該文件時，你就會看到一個提示信息，詢問你是否要掃描Camera Roll以外的位置，以查找可能包含位置數據的媒體文件。根據獲取文件的數量，打開TAR文件所需的時間可能會不同。

此時，獲取文件就會被打開，打開一張11GB映像需要大約2分鐘的時間。

該文件被打開後，Elcomsoft Phone Viewer 3.70就會開始從中發現和索引證據。這可能需要幾分鐘的時間。

請注意，這是由於數據的後台處理造成的。一旦打開相應的類別，EPV將解析條目的數量。

首先會顯示已安裝的應用列表：

如果你的計算機可以聯網，則該工具會提示你，它會將軟體包名稱與iTunes資料庫相匹配。這麼做，是為了查看應用程序的實際名稱，而不是包的名稱。

如果要訪問特定應用程序的數據集，請滾動到最右邊的那一列，其中包含有關TAR文檔中應用程序數據集的完整路徑信息。

位置信息如下：

如你所見，該工具匯總來自多個來源的位置數據，包括日誌，媒體文件中的地理標記甚至日曆活動：

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！