適用於移動設備的取證方法能否照搬到台式計算機上？

關於移動取證，我們已經講了很多了，且最新的進展是專家們正在分析智能手機本身是否可以訪問雲數據。然而，將搜索擴展到用戶的台式機和筆記本電腦可能也有助於訪問存儲在物理智能手機和雲中的數據。在這篇文章中，我們將列出所有能夠為智能手機數據提供信息的相關取證方法，並且這些方法適用於蘋果iOS設備以及運行Android的智能手機。

台式機和筆記本電腦上的相關取證方法

由於其容量巨大，計算機可能存儲了比智能手機更多的證據。然而，與我們期望從現代智能手機中獲得的帶有時間戳和地理標記的使用數據相比，台式計算機中的數據將是一種不同與智能手機的證據。

用戶的PC或Mac如何幫助移動取證專家?有幾種類型的證據可以幫助我們從手機或雲端檢索數據。

1. iTunes備份，雖然這類證據是iphone特有的或者更確切地說，是蘋果特有的，但是在用戶的計算機上發現的本地備份可以成為非常寶貴的證據來源。

2. 保存的密碼，通過即時提取存儲在用戶的Web瀏覽器(Chrome、Edge、IE或Safari)中的密碼，可以構建一個用於破解加密的自定義字典。更重要的是，可以使用存儲的憑證登錄用戶的iCloud或谷歌帳戶並執行雲提取。

3. 電子郵件帳戶，電子郵件帳戶可用於重置用戶的Apple或谷歌帳戶的密碼（使用新憑據進行後續雲提取）。

4. 身份驗證令牌，這些可以用來訪問用戶iCloud帳戶中的同步數據(令牌必須在用戶的計算機上使用，在macOS上，可以提取可轉移的不受限制的令牌)。另外，還有Google雲端硬碟的令牌（可用於訪問用戶的Google雲端硬碟帳戶中的文件）和Google帳戶（可用於從用戶的Google帳戶中提取大量數據）。計算機本身也是取證的來源，因為某些身份驗證令牌「固定」在特定的硬體上，不能轉移到其他設備上。如果計算機是「受信任的」設備，則可以使用它來繞過雙因素身份驗證。

iTunes備份

iPhone用戶可以選擇在Windows電腦上安裝iTunes或者在Mac電腦上使用所述軟體的內置版本。除此之外，iTunes還可以用來對iPhone進行定期或手動的本地備份。這些備份可以說是移動取證專家從用戶電腦中收集的證據中最寶貴的部分。

與Android的剝離式ADB備份相比，Apple的iPhone擁有更好的本地備份系統，Apple在關於《iOS設備的備份》一文中對本地備份進行了全面的記錄。

據蘋果公司稱：「iTunes備份幾乎包括你設備的所有數據和設置」，另外根據我們的一貫經驗，本地備份幾乎包含恢復現有iPhone或安裝新設備所需的所有內容。將文件和設置傳輸到另一台設備既快捷又簡單，用戶使用替換設備的體驗與使用舊iPhone不會有太大的不同，甚至密碼（iOS Keychain）也保存在本地備份中。

加密備份與未加密備份

用戶可以選擇使用密碼保護本地備份，受密碼保護的備份是安全加密的。為了解密這些備份，需要破解或恢復密碼，密碼恢復攻擊很慢，在高端GPU上每秒只有100-150次嘗試。

加密的iTunes備份和未加密的iTunes備份有很大的區別，在某種程度上，對於專家來說，受密碼保護的備份比沒有受密碼的備份更有價值。關於備份加密，蘋果公司的說法如下:

「iTunes的加密備份功能可以鎖定和編碼你的信息，另外加密的iTunes備份可以包括未加密的iTunes備份不包括的信息，比如你保存的密碼、無線網路設置、網站歷史、健康數據」

我們只能從加密備份中提取保存的密碼(iOS鑰匙串)，未加密的iTunes備份仍然包含鑰匙串。然而，不受保護備份中的鑰匙串的內容是使用特定於設備的安全加密密鑰進行加密，允許你在從中捕獲備份的同一設備上解密內容。

從ios11開始，iTunes備份密碼可以重置，要做到這一點，你需要一台iPhone和登錄它的密碼。從ios13開始，你需要使用密碼在iTunes或iOS Forensic Toolkit中指定備份密碼。

不過要注意的是，有些數據永遠不會存儲在本地備份中。

iTunes備份不包括:

1. 來自iTunes和應用程序商店的內容，或直接下載到Apple Books的PDF文件；

2. 從iTunes同步的內容，如導入的MP3或CD、視頻、書籍和照片；

3. 已經存儲在iCloud中的數據，如iCloud照片、imessage、文本(SMS)和多媒體(MMS)消息；

4. Face ID或Touch ID設置；

5. Apple Pay信息和設置；

6. Apple Mail數據；

7. 活動、健康狀況和鑰匙串數據(要備份此內容，你需要在iTunes中使用加密備份)。

哪裡有保存的密碼

用戶的密碼可以存儲在他們的計算機上，由流行的Web瀏覽器緩存或保存在密碼管理器應用程序中。可以使用存儲的密碼解鎖BitLocker加密的硬碟，訪問用戶Google帳戶中的iCloud數據和數據，破壞強加密或訪問用戶的全面位置歷史記錄。

在Windows中

在Windows系統中，一些最流行的具有保存密碼功能的Web瀏覽器包括谷歌Chrome、Mozilla Firefox、Microsoft Edge和Internet Explorer以及Opera瀏覽器。在所有這些瀏覽器中，存儲的密碼只受到鬆散的保護。因此，可以使用Elcomsoft Internet Password Breaker輕鬆提取它們。解壓縮密碼後，你可以使用它們構建自定義字典來攻擊加密文檔或執行雲提取。

要從用戶的iCloud帳戶中提取數據，請在Elcomsoft Phone Breaker中輸入存儲的身份驗證憑據。

要從用戶的谷歌帳戶中提取數據，請在Elcomsoft Cloud Explorer中使用相應的身份驗證憑據。

macOS

macOS將密碼存儲在鑰匙串中，這樣本地和第三方密碼都將存儲在鑰匙串中，至少在谷歌Chrome中是這樣。因此，訪問密碼需要提取和解密鑰匙串。

現在，你可以使用Elcomsoft Phone Breaker(有Mac版本)從用戶的iCloud帳戶中提取數據。要從用戶的谷歌帳戶中提取數據，請在Elcomsoft Cloud Explorer中使用相應的身份驗證憑據(用Mac版本)。

電子郵件帳戶

通過身份驗證的電子郵件客戶端(如Outlook或Windows Mail)或通過身份驗證的Web瀏覽器(如Gmail、Hotmail等)可用於請求重置其他用戶帳戶上的密碼。請注意，這對於使用雙因素身份驗證的Apple ID帳戶不起作用，另外它也不適用於Google帳戶。不過，你仍然可以為其他帳戶(如社交網路、聊天和即時消息帳戶)請求重置密碼。

鎖定記錄（Lockdown Record）

鎖定記錄或配對記錄經常用於訪問鎖定的iOS設備。通過使用從嫌疑人電腦中提取的現有鎖定記錄，取證專家可以使用iOS Forensic Toolkit和其他取證工具對iOS設備進行邏輯提取。通過邏輯提取，專家可以提取本地備份，訪問共享和媒體文件，甚至提取設備崩潰日誌。

從用戶的計算機中提取鎖定記錄可能為從鎖定的iPhone中提取數據提供了機會。注意，只有當設備處於AFU(第一次解鎖後)狀態時才可以進行邏輯採集，這就是為什麼需要始終保持設備開啟的重要原因。

我們已經寫了多篇關於鎖定記錄的文章，雖然其中一些的發表時間已經很長了，但其中的技術目前還是適用的。尤其是，蘋果在iOS 11.3中增加了鎖定期限，並在macOS中添加了具有訪問控制許可權的鎖定文件。你可以參考以下5篇文章:

1. 擁有鎖定記錄的鎖定iPhone；

2. 蘋果iTunes:獨立版與微軟商店版；

3. 訪問macOS上的鎖定文件；

4. iOS 11.3將過期日期添加到鎖定(配對)記錄中；

5. iOS鎖定(配對)記錄的取證應用。

只有在設備未進入所謂的USB限制模式時，才能進行邏輯採集，即使使用有效的鎖定記錄也得如此。有關USB限制模式的更多信息，請參考：

1. USB限制模式的介紹；

2. iOS 12增強USB限制模式。

身份驗證令牌

這些可以用來訪問用戶iCloud帳戶中的同步數據(令牌必須在用戶的計算機上使用，在macOS上，可以提取可傳輸的無限制令牌)。還有Google雲端硬碟的令牌（可用於訪問用戶的Google雲端硬碟帳戶中的文件）和Google帳戶（可用於從用戶的Google帳戶中提取大量數據）。

說白了，身份驗證令牌是一些數據，允許客戶端（Web瀏覽器，Windows 版 iCloud，Elcomsoft Phone Breaker，Elcomsoft Cloud Explorer等）連接到伺服器，而無需為每個請求提供登錄名和密碼。這些數據存儲在小文件中(Web瀏覽器將它們存儲在cookie中)，這些文件可用於避免用戶在當前和後續會話期間輸入登錄名和密碼。在不提供(甚至不知道)用戶的登錄名和密碼的情況下，可以使用這些相同的文件將雲取證工具放在相應的雲服務中進行驗證。

注意，身份驗證令牌不包含密碼或其哈希值。相反，它們是完全隨機的數據字元串，令牌不能用於攻擊密碼。

身份驗證令牌的使用也會受到限制，我們列出了下面使用令牌可以訪問和不能訪問的數據類型。

Apple帳戶

iCloud認證令牌尤其難以掌握，比如它們是什麼，它們是用什麼工具創建的，它們存儲在哪裡，以及如何和何時使用它們，這些都是我們經常被問到的問題。

在Windows環境中，Apple將iCloud身份驗證令牌固定到他們創建的設備上，如果這些「固定」令牌被傳輸，則不能在其他設備上使用。因此，只能在創建這些令牌的同一台計算機上使用它們。

在macOS環境中，令牌也是固定於macOS計算機。然而，除了「固定」令牌外，我們還能夠訪問和解密不受限制的令牌。你將需要Elcomsoft Phone Breaker Forensic Edition從macOS中提取不受限制的令牌，然後使用相同的工具來使用令牌從iCloud下載信息。

令牌的作用很多，比如訪問同步數據，包括聯繫人、日曆和歷史記錄；Safari瀏覽歷史和打開標籤；錢包卡；通話記錄；iCloud照片。另外，你還可以從iCloud驅動器訪問文件，包括許多第三方app container (1Password、WhatsApp、Viber等)，獲取filevailt2加密驅動器的恢復令牌，並訪問iCloud郵件。

不過，你不能使用令牌做的事情有：更改用戶的iCloud密碼，禁用雙因素身份驗證，訪問密碼(iCloud鑰匙串)、屏幕時間、健康狀況(iOS 12及更新版本)和消息。另外，你無法使用令牌下載iCloud備份。

為了在技術上100%正確，iCloud備份只能使用非雙因素驗證帳戶中的有效令牌下載。但是，這些令牌的生命周期僅限於創建令牌後的一小時。換句話說它太短了，它的取證意義非常有限。

不過現在，無論是否使用密碼都可以訪問iCloud，詳情請點此查看。

谷歌賬戶

如果你能夠訪問用戶的計算機(Mac或PC)，則可以從該計算機(使用Elcomsoft Cloud Explorer)提取二進位身份驗證令牌，並使用它繞過密碼和雙因素身份驗證保護。有幾種類型的令牌，它們會受到不同方式的限制。

谷歌身份驗證令牌是小型XML文件，在Windows電腦上，這些數據存儲在用戶的硬碟上。它們保存在mac OS的鑰匙串中。這些令牌是在用戶使用Chrome瀏覽器(或用於令牌的谷歌驅動器應用程序)登錄到任何谷歌服務之後創建的，取證專家可以使用該XML文件中的數據對正在進行和後續會話進行身份驗證，而不需要用戶重新輸入密碼或確認雙因素身份驗證提示符。

谷歌身份驗證令牌具有自己的一組限制，雖然它們不是「固定」在特定的計算機上，可以很容易地轉移到不同的PC或Mac上，但令牌不能用於攻擊、重置或恢復用戶的帳戶密碼。然而，令牌可用於關閉用戶谷歌帳戶中的雙因素身份驗證。

從Chrome瀏覽器中提取的令牌更加通用，允許訪問多個數據類別。另一方面，谷歌驅動器應用程序生成的令牌只能用於訪問用戶的谷歌驅動器中的文件。

你可以在Windows和macOS平台上使用Elcomsoft Cloud Explorer自動提取、傳輸和使用谷歌身份驗證令牌，詳情請點擊《在沒有密碼的情況下訪問谷歌帳戶數據》了解。

總結

移動取證不僅僅針對於iPhone或Android手機，台式計算機就存在著許多與移動設備有關的證據。即使你不能使用身份驗證令牌訪問備份或任何受保護的容器，Apple iCloud保存的實時數據也比你想像的同步數據要多。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！