靳明遠(yuǎn)

（湖北工程學(xué)院 湖北省孝感市 432000）

一種基于iOS平臺(tái)微信取證分析

靳明遠(yuǎn)

（湖北工程學(xué)院 湖北省孝感市 432000）

隨著科技的不斷發(fā)展，在當(dāng)前的社會(huì)中，智能手機(jī)正在得到越來(lái)越廣泛的應(yīng)用，利用智能手機(jī)，能夠完成很多計(jì)算機(jī)的功能和應(yīng)用。在當(dāng)前的智能手機(jī)領(lǐng)域當(dāng)中，蘋果公司生產(chǎn)的iPhone系列智能手機(jī)和iPad系列平板電腦，在全世界范圍內(nèi)都受到了十分廣泛的歡迎，擁有極大的用戶基礎(chǔ)。騰訊公司開發(fā)的微信是當(dāng)前社交聊天軟件中一個(gè)應(yīng)用十分廣泛的軟件，其用戶數(shù)量已經(jīng)超過(guò)了3.5億人?；诖?，本文對(duì)一種基于iOS平臺(tái)的微信取證分析進(jìn)行研究。

iOS平臺(tái)；微信取證；分析

前言

隨著科技的不斷發(fā)展，在硬件平臺(tái)、移動(dòng)互聯(lián)網(wǎng)等領(lǐng)域當(dāng)中，都得到了極大的進(jìn)展。在人們的日常生活當(dāng)中，智能手機(jī)正在得到越來(lái)越廣泛的應(yīng)用，而在連接到互聯(lián)網(wǎng)之后，利用手機(jī)進(jìn)行偽造、誹謗、詐騙等犯罪行為也日益增加。因而，在打擊此類犯罪行為的過(guò)程中，手機(jī)取證發(fā)揮著重要的作用。由于基于微信平臺(tái)的犯罪行為也較為常見，因此微信取證也具有十分重要的意義。而在iOS平臺(tái)中，需要進(jìn)行越獄，才能夠更好的實(shí)現(xiàn)微信取證。

1 基于iOS平臺(tái)的取證

1.1 未越獄的情況下提取備份文件

蘋果公司面向PC和Mac，開發(fā)了iTunes，具有設(shè)備配置、第三方軟件下載、數(shù)據(jù)信息備份、多媒體文件播放管理等功能。利用iTunes，能夠?qū)Phone中的配置信息、網(wǎng)絡(luò)配置信息、應(yīng)用程序信息、瀏覽器設(shè)置、電子郵件設(shè)置、聲音設(shè)置、個(gè)人收藏、最近通話、照片、備忘錄、日歷、聯(lián)系人、文字信息等進(jìn)行自動(dòng)備份。利用iTunes能夠?qū)OS設(shè)備的備份進(jìn)行創(chuàng)建，同時(shí)可以對(duì)備份文件進(jìn)行加密，基于不同的操作系統(tǒng)，備份文件的路徑也會(huì)不同[1]。在備份文件夾中，文件名的長(zhǎng)度通常在40個(gè)字符左右，而有擴(kuò)展名的文件很少，其余大多數(shù)文件才是真正的備份文件，是通過(guò)hash編碼計(jì)算，才得到了文件名稱。

1.2 越獄后擁有更多權(quán)限進(jìn)行取證

在iPhone當(dāng)中，為了達(dá)到省電、提高系統(tǒng)穩(wěn)定性、刪除文件不產(chǎn)生垃圾等功能，用戶只有讀的權(quán)限，并沒有寫的權(quán)限。而在當(dāng)前的技術(shù)水平下，可以利用手機(jī)取證系統(tǒng)來(lái)解決越獄的問(wèn)題。例如，SafeMobile手機(jī)取證分析系統(tǒng)，能夠?qū)OS設(shè)備進(jìn)行自動(dòng)的備份，從而更加快速的提取iOS設(shè)備越獄之后的信息，使得用戶的操作難度得到了極大的降低。另外，利用該軟件還能夠通過(guò)對(duì)iTunes的應(yīng)用，直接接續(xù)iOS設(shè)備備份文件，在越獄后，能夠支持手機(jī)鏡像問(wèn)題，對(duì)更多的手機(jī)信息進(jìn)行獲取。該軟件能夠擺脫系統(tǒng)權(quán)限的輸入，從而更加簡(jiǎn)單的進(jìn)行iPhone取證。

2 基于iOS平臺(tái)的微信應(yīng)用

2.1 微信的基本概述

微信使騰訊公司在2011年發(fā)布的一款社交軟件，用戶利用微信，可以擁有通過(guò)文字、圖片、視頻、語(yǔ)音等方式與好友進(jìn)行溝通與互動(dòng)，除了流量費(fèi)用以外，不會(huì)額外收取其它費(fèi)用。在微信當(dāng)中，包含有很多功能，例如QQ郵件、熱點(diǎn)新聞、視頻聊天、游戲中心、微信支付、QQ離線消息、漂流瓶、騰訊微博、搖一搖、附近的人、多人群聊等多種功能，在溝通交流和信息獲取方面，正在發(fā)揮著越來(lái)越重要的作用。隨著微信應(yīng)用范圍的不斷擴(kuò)大，微信取證也成為了手機(jī)取證中的一個(gè)重要的組成部分，利用SafeMobile軟件，能夠?qū)ξ⑿胖邪ㄒ呀?jīng)刪除的信息進(jìn)行獲取[2]。

2.2 微信的文件路徑

在微信的Documents根目錄之下，32為編碼組成的文件夾十分重要，通過(guò)對(duì)手機(jī)微信號(hào)進(jìn)行MD5校驗(yàn)，能夠得到這一文件夾。其中得到的32為編碼，與微信的主文件夾相對(duì)應(yīng)。每個(gè)微信號(hào)都具有唯一性的特點(diǎn)，因此，及時(shí)將幾個(gè)不同的微信賬號(hào)登錄在同一個(gè)手機(jī)當(dāng)中，也會(huì)出現(xiàn)相應(yīng)數(shù)量的文件夾。在相對(duì)應(yīng)的文件夾當(dāng)中，會(huì)對(duì)用戶賬戶中的大部分信息進(jìn)行囊括，因此在iOS微信分析當(dāng)中，發(fā)揮著至關(guān)重要的作用。

3 基于iOS平臺(tái)的微信數(shù)據(jù)

3.1 SQLite數(shù)據(jù)庫(kù)文件信息

在SQLite關(guān)系型數(shù)據(jù)庫(kù)管理系統(tǒng)當(dāng)中，遵循ACID的要求，在一個(gè)較小的C庫(kù)當(dāng)中存在，是一種共有的領(lǐng)域項(xiàng)目。在SQLite小型數(shù)據(jù)庫(kù)當(dāng)中，具有高效、快速等特點(diǎn)，在 iOS 微信主目錄下，Documents/＜MD5（ID）＞/DB/MM.sqlite，其中SQLite數(shù)據(jù)庫(kù)就是MM.sqlite，利用SQLite查看器將其打開，就能夠進(jìn)行相應(yīng)的分析[3]。而在數(shù)據(jù)庫(kù)當(dāng)中，好友列表對(duì)應(yīng)著名為Friend的表。用戶通過(guò)賬戶與好友聊天，產(chǎn)生的聊天記錄的表名為Chat_＜MD5（用戶名）＞，其中每天聊天記錄消息都具有相對(duì)應(yīng)的id，就是消息的識(shí)別符。

3.2 Plist格式文件信息

在Mac OS X中的GNUstep、NeXTSTEP、Cocoat等編程框架當(dāng)中，對(duì)存儲(chǔ)序列化后的對(duì)象文件就是屬性列表文件。.plist是屬性列表文件的文件擴(kuò)展名。在Plist文件當(dāng)中，通常是在捆綁信息的儲(chǔ)存、用戶設(shè)置的儲(chǔ)存等進(jìn)行應(yīng)用。在舊式Mac OS當(dāng)中，該功能是由資源分支所提供的[4]。在OS X系統(tǒng)中，常見的XML格式文件就是Plist。在蘋果的iOS系統(tǒng)的目錄結(jié)構(gòu)當(dāng)中，也存在著很多Plist文件，對(duì)QQ好友緩存列表、微信賬戶信息等進(jìn)行存儲(chǔ)。通過(guò)微信查看QQ的好友分組、QQ好友信息、以及微信賬戶信息等，都是通過(guò)Plist文件格式在相應(yīng)目錄中進(jìn)行存放的。

4 結(jié)論

在iPhone、iPad等應(yīng)用iOS平臺(tái)的設(shè)備中，通過(guò)越獄能夠?qū)Ω叩臋?quán)限進(jìn)行獲取，從而更加便利的拉取相應(yīng)的信息。以此對(duì)硬盤中的信息進(jìn)行提取，能夠更好的實(shí)現(xiàn)取證。在實(shí)際應(yīng)用中，在基于iOS平臺(tái)微信取證當(dāng)中，可利用iOS平臺(tái)上微信的存儲(chǔ)和目錄結(jié)構(gòu)特點(diǎn)，采用相應(yīng)的方法進(jìn)行取證，從而實(shí)現(xiàn)更好的應(yīng)用。

[1]喬木，龔俊儒，沈杏林，楊 虎.基于iOS平臺(tái)的小型倉(cāng)儲(chǔ)管理系統(tǒng)設(shè)計(jì)[J].計(jì)算機(jī)與現(xiàn)代化，2014，01：196～200.

[2]崔維，李暉，劉佳佳，王艷娟.基于iOS的企業(yè)APP客戶端的開發(fā)與實(shí)現(xiàn)[J].科技創(chuàng)新與應(yīng)用，2014，24：30～31.

[3]楊蕙馨，王碩，馮文娜.網(wǎng)絡(luò)效應(yīng)視角下技術(shù)標(biāo)準(zhǔn)的競(jìng)爭(zhēng)性擴(kuò)散——來(lái)自iOS與Android之爭(zhēng)的實(shí)證研究[J].中國(guó)工業(yè)經(jīng)濟(jì)，2014，09：135～147.

[4]賀瀅睿，陸道宏，李建新，徐云峰.面向iPhone手機(jī)的電子數(shù)據(jù)取證分析[J].信息網(wǎng)絡(luò)安全，2013，10：87～90.

TP393

A

1004-7344（2016）10-0277-01

2016-3-15