劉 枧,邱 平,蘇順華

(1.貴州警察學(xué)院計(jì)算機(jī)科學(xué)系， 貴州貴陽 550005; 2.公共大數(shù)據(jù)國家重點(diǎn)實(shí)驗(yàn)室， 貴州貴陽 550025; 3.貴州省公安廳網(wǎng)絡(luò)安全保衛(wèi)總隊(duì)， 貴州貴陽 550001)

0 引言

在移動互聯(lián)網(wǎng)技術(shù)不斷發(fā)展的今天，移動智能終端已成為人們生活中必備的工具，人們的吃住行消樂都可以依托智能手機(jī)完成。使用智能手機(jī)時，手機(jī)中留下的各種數(shù)據(jù)，可以刻畫出持機(jī)人的生活軌跡和活動情況。在涉網(wǎng)案件的偵辦過程中，從嫌疑人手機(jī)提取到的電子數(shù)據(jù)，不僅可以找到與案件相關(guān)的重要信息，還能通過對手機(jī)數(shù)據(jù)的深度研判，刻畫出犯罪嫌疑人的犯罪動機(jī)及心路歷程，往往對案件的偵破以及定罪量刑起著極其關(guān)鍵的作用。對偵破案件、發(fā)現(xiàn)犯罪動機(jī)以及研究此類案件特點(diǎn)有著非常重要的作用。

隨著存儲芯片加密技術(shù)在智能終端中的廣泛運(yùn)用，早期在涉網(wǎng)案件中遇到的IOS系統(tǒng)和Andriod系統(tǒng)設(shè)備取證過程中使用的“物理鏡像”法，已經(jīng)無法發(fā)揮作用。目前，對IOS系統(tǒng)涉案設(shè)備的取證中常用的方法為邏輯鏡像提取、加密備份提取和不加密備份提取3種方法。但是使用不同的方法提取到的數(shù)據(jù)量也會有很大的差距，本文主要針對涉網(wǎng)案件偵辦過程中遇到的IOS設(shè)備取證中常用的3種方法進(jìn)行了分析研究。

1 電子數(shù)據(jù)

電子數(shù)據(jù)是案件發(fā)生過程中形成的，以數(shù)字化形式存儲、處理、傳輸?shù)?，能夠證明案件事實(shí)的數(shù)據(jù)。電子數(shù)據(jù)勘查取證，是指偵查人員運(yùn)用科學(xué)的取證技術(shù)，對犯罪有關(guān)的電子數(shù)據(jù)進(jìn)行收集、提取、分析、固定的偵查活動。在偵辦涉網(wǎng)案件過程中，常常需要對包括移動智能終端在內(nèi)的涉案電子設(shè)備進(jìn)行電子數(shù)據(jù)勘查取證，蘋果、安卓等智能手機(jī)是涉網(wǎng)案件中常見的涉案智能終端。對涉案智能終端進(jìn)行勘查取證，一般需要對手機(jī)短信、通話記錄、即時通訊、上網(wǎng)歷史記錄、移動支付交易記錄、手機(jī)相冊、電子文檔，以及其他手機(jī)APP的使用記錄等與案件相關(guān)的電子數(shù)據(jù)進(jìn)行提取固定，為案件的偵破提供證據(jù)支撐，為審判過程中定罪量刑提供參考依據(jù)。

在偵辦信息案件中，最重要的便是對電子數(shù)據(jù)的查證，電子數(shù)據(jù)是查清信息案件情況的關(guān)鍵要素，是認(rèn)定犯罪事實(shí)最重要的證據(jù)。電子數(shù)據(jù)的來源包括犯罪時可能使用的服務(wù)器、電腦、手機(jī)、移動存儲設(shè)備等電子設(shè)備。

2 蘋果手機(jī)取證技術(shù)原理

IOS是由蘋果公司開發(fā)，并于2007年1月9日發(fā)布的移動操作系統(tǒng)，最初是設(shè)計(jì)給iPhone手機(jī)使用的，后陸續(xù)沿用至iPod touch、iPad以及Apple TV等蘋果設(shè)備上。用戶使用IOS設(shè)備時，需要注冊Apple賬戶ID，該賬戶可以關(guān)聯(lián)多臺“蘋果”設(shè)備，用于存儲照片、視頻、文檔、音樂、App等內(nèi)容，并在各種設(shè)備上同步保持更新。隨著科學(xué)技術(shù)的發(fā)展，芯片加密的應(yīng)用越來越廣泛，早期通過物理鏡像，直接讀取芯片進(jìn)行取證的方法，由于加密機(jī)制的出現(xiàn)已經(jīng)失去了意義。我們通過具體實(shí)例，分析比較一下不加密備份、加密備份和邏輯鏡像這3種取證方法提取數(shù)據(jù)的差別。

目前對于蘋果手機(jī)的取證，一般采用備份數(shù)據(jù)法和邏輯鏡像法。鏡像分為物理鏡像和邏輯鏡像，物理鏡像是所用存儲的一個副本，包含了所有數(shù)據(jù)，但是現(xiàn)在存儲機(jī)制使用了全盤加密，因此對蘋果手機(jī)做物理鏡像沒有任何實(shí)際意義；邏輯鏡像是指針對使用空間進(jìn)行的鏡像，它不僅包括了應(yīng)用程序的數(shù)據(jù)，還包括了系統(tǒng)日志文件、應(yīng)用程序日志等重要信息。而備份僅僅是對應(yīng)用程序數(shù)據(jù)的備份，不包括日志和軟件配置等信息。因此從提取數(shù)據(jù)量來說，肯定是物理鏡像不僅大于邏輯鏡像，而且大于備份數(shù)據(jù)。

邏輯鏡像是提取設(shè)備的完整文件系統(tǒng)，可以訪問用戶的數(shù)據(jù)，也就是說，提取的是包含在iTunes備份中的內(nèi)容。從某種層面上來說，我們無法恢復(fù)已刪除的文件，但是由于SQLite數(shù)據(jù)庫的空閑表和未分配的空間，我們還是可以恢復(fù)已刪除的記錄，包括短信和其他聊天記錄，瀏覽歷史記錄等。

使用手機(jī)取證系統(tǒng)進(jìn)行邏輯鏡像提取的前提是手機(jī)可以連接到電腦PC端，邏輯提取是訪問存儲在IOS設(shè)備數(shù)據(jù)的最快、最簡單的方式，能進(jìn)行邏輯提取的工具有很多，有商業(yè)工具也有免費(fèi)工具，而多數(shù)這類工具都要求設(shè)備能夠解鎖，或者能提供信任計(jì)算機(jī)上面已有的Plist文件；使用內(nèi)部配對記錄管理，則用給定的主機(jī)ID對設(shè)備進(jìn)行解配。任意一臺與IOS設(shè)備同步過的計(jì)算機(jī)都存儲了大量的信息，這些計(jì)算機(jī)通常稱為主計(jì)算機(jī)，可以具有歷史數(shù)據(jù)，可以用作繞過屏幕解鎖的信任文件。

iTunes備份在案件調(diào)查中，可以通過搜查令以取得嫌疑人的計(jì)算機(jī)，從而得到備份和lockdown文件。IOS備份文件取證主要涉及分析由iPhone、iPad、iPod touch或Apple Watch生成的離線備份，Apple Watch的數(shù)據(jù)將包含在同步過的iPhone備份中。

當(dāng)IOS設(shè)備的物理提取、文件系統(tǒng)提取不可行，且邏輯提取無法滿足取證需求時，iTunes備份提取也能發(fā)揮作用。在這種情況下，調(diào)查取證人員只需要制作設(shè)備的備份并使用取證軟件對其進(jìn)行分析。因此調(diào)查取證人員必須完全理解備份過程和所涉及的工具，以確保他們能夠制作取證備份，且不讓其他數(shù)據(jù)對iTunes中的數(shù)據(jù)造成污染。

iTunes是蘋果公司推出的連接IOS設(shè)備和電腦主機(jī)的一款應(yīng)用軟件，其“備份”功能可以從IOS設(shè)備獲取大部分?jǐn)?shù)據(jù)，如通話記錄、上網(wǎng)記錄、即時通訊、手機(jī)錢包、支付類應(yīng)用信息等，所以經(jīng)常被取證人員用做IOS設(shè)備的數(shù)據(jù)提取。iTunes提供加密備份選項(xiàng)，但默認(rèn)情況下同步iPhone時，它就會創(chuàng)建一個未加密的備份。加密備份在解密后，可以掌握存儲在IOS設(shè)備上的額外數(shù)據(jù)的訪問權(quán)限。

用戶常常會制作備份文件，以防在設(shè)備損壞或丟失后損失數(shù)據(jù)。因此，我們既可以為設(shè)備創(chuàng)建一個全新的備份進(jìn)行分析，也可以利用現(xiàn)有的IOS備份來搜索遺留的歷史信息。由于備份可能使用的是iTunes或iCloud，且同一設(shè)備有可能存在多個備份。調(diào)查取證人員必須對每個備份進(jìn)行取證分析，尋找與案件相關(guān)的痕跡與線索。

需要注意的是，通常在IOS設(shè)備連接到計(jì)算機(jī)時，iTunes會自動開始進(jìn)行同步過程。為避免IOS設(shè)備與計(jì)算機(jī)之間意外的數(shù)據(jù)傳輸，在把設(shè)備連接到取證計(jì)算機(jī)前，請務(wù)必取消自動同步功能。加密備份和不加密備份的區(qū)別如圖1所示。

圖1 加密備份和不加密備份

當(dāng)我們連接上IOS設(shè)備并打開iTunes，點(diǎn)擊立即備份，會彈出如圖1所示的對話框，彈出是否加密備份，如果選擇加密備份，會提取到“健康”和“Homekit”等更多數(shù)據(jù)，這是因?yàn)檫@兩種備份數(shù)據(jù)加密方式不同。在加密備份中數(shù)據(jù)是基于備份密碼進(jìn)行加密，與當(dāng)前硬件無關(guān)，在取證或者仿真過程中將數(shù)據(jù)還原到任何一臺設(shè)備都不影響數(shù)據(jù)的解析；而在不加密備份中，數(shù)據(jù)的加密是基于本機(jī)的硬件特征來進(jìn)行加密，我們在取證或者仿真的過程中需要將備份還原到其他設(shè)備上，就會造成數(shù)據(jù)的缺失，這就是加密備份與不加密備份提取數(shù)據(jù)不同的原因。

3 蘋果手機(jī)3種取證方法實(shí)戰(zhàn)測評對比

通過公安電子數(shù)據(jù)取證的具體實(shí)例，從5個維度對不加密備份取證、加密備份取證和邏輯鏡像取證這3種取證方式提取的數(shù)據(jù)進(jìn)行測評實(shí)戰(zhàn)比對，并詳細(xì)分析各類數(shù)據(jù)對案件偵查的作用。

3.1 瀏覽器歷史記錄

瀏覽器的歷史記錄，記錄了機(jī)主使用手機(jī)上網(wǎng)留下的痕跡，這是反映機(jī)主內(nèi)心世界的重要指標(biāo)，這個信息往往在案件偵查中能夠起到非常重要的作用。最經(jīng)典的案例就是2004年云南大學(xué)學(xué)生馬加爵殺人案，當(dāng)時馬加爵與同學(xué)因瑣事積怨，從而產(chǎn)生報(bào)復(fù)殺人心理，隨后購買了作案工具，在宿舍里相繼殘忍殺死4名同學(xué)后潛逃。手機(jī)的瀏覽器歷史信息記錄了機(jī)主的上網(wǎng)行為，可據(jù)此分析機(jī)主使用手機(jī)上網(wǎng)的目的和動機(jī)。

比較一下3種取證方式提取的瀏覽器歷史記錄數(shù)據(jù)，如圖2所示，加密備份和不加密備份提取的數(shù)據(jù)都是16條，但是邏輯鏡像提取了31條數(shù)據(jù)，比通過備份方式獲取的數(shù)據(jù)多了15條。

使用普通的備份提取方式無法提取手機(jī)百度App的數(shù)據(jù)，而在整個歷史記錄里邊，本案中剛好從手機(jī)百度這個記錄中發(fā)現(xiàn)了和案件相關(guān)的數(shù)據(jù)信息，為案件的研判提供了很好的依據(jù)。

圖2 瀏覽器歷史記錄取證數(shù)據(jù)對比

3.2 聚合位置信息

所謂聚合位置信息，簡而言之就是把所有手機(jī)里的位置信息全部匯聚在一起進(jìn)行展示，這些信息包括導(dǎo)航的位置信息、WIFI的經(jīng)緯度、照片的GPS位置、微信或QQ聊天中發(fā)送的位置、運(yùn)動軟件記錄的位置等等。將手機(jī)里的這些位置信息做一次集中整合，就可以知道該手機(jī)到過、搜索過或者接收過的位置記錄，從而大致確定該機(jī)主的活動范圍，如果結(jié)合時間節(jié)點(diǎn)數(shù)據(jù)就能得到更多對案件偵查有價值的線索。

如圖3所示，邏輯鏡像提取聚合位置信息12 995條數(shù)據(jù)，而通過不加密備份、加密備份這兩種備份方式都只提取到7條數(shù)據(jù)，相差近13萬條數(shù)據(jù)，獲得的數(shù)據(jù)差距是非常大的。

圖3 聚合位置信息取證數(shù)據(jù)對比

圖4 鑰匙串(Keychain)取證數(shù)據(jù)對比

本案通過位置聚合信息功能，偵查人員很快鎖定了該組織的活動范圍，縮小了包圍圈，為案件的進(jìn)一步偵查提供了更好的思路。

3.3 鑰匙串(Keychain)

對于蘋果手機(jī)IOS系統(tǒng)取證來說，鑰匙串(Keychain)是非常重要的數(shù)據(jù)信息，因?yàn)殍€匙串是IOS系統(tǒng)的密碼管理系統(tǒng)，也可以說是IOS設(shè)備中一個安全的存儲容器，一般是用來保存用戶名、密碼、認(rèn)證令牌等重要的敏感信息。因此用戶即使將APP刪除，鑰匙串Keychain也會保留有關(guān)的配置信息，下次用戶再裝APP時，系統(tǒng)還能從Keychain中獲取數(shù)據(jù)。如圖4所示，邏輯備份除了提取包括證書、通用密碼等347個Keychain數(shù)據(jù)外，還可以提取到備份文件的明文密碼，這是非常重要的數(shù)據(jù)信息；而加密備份只提取到149個Keychain數(shù)據(jù)，不加密備份提取到的鑰匙串Keychain數(shù)據(jù)為0。

在進(jìn)行數(shù)據(jù)分析中，從通用密碼里找到了嫌疑人的郵箱賬號和密碼，并且從郵箱里發(fā)現(xiàn)了相關(guān)涉案信息。因此充分利用好鑰匙串Keychain的數(shù)據(jù)信息，對破解密碼和情報(bào)挖掘有著非常重要的作用。

3.4 日志文件和輸入法

日志文件記錄了對于軟件的安裝卸載，文件的打開和關(guān)閉時間，文件接收路徑，連接過的WIFI等信息，這對于判斷案件性質(zhì)、指明偵查方向、確定案發(fā)時間等有著非常重要的意義。如在一起縱火自殺案件的偵辦過程中，在大量證據(jù)確實(shí)的情況下，通過提取手機(jī)與WiFi連接斷開的時間為依據(jù)，非常精確地確定了案發(fā)的時間，為案件偵破提供了重要的數(shù)據(jù)信息支撐。

現(xiàn)在很多人習(xí)慣于個性化設(shè)置自己的輸入法，而且現(xiàn)在大多數(shù)智能輸入法都會根據(jù)用戶輸入的頻次來創(chuàng)建個性化的輸入，這使我們在取證實(shí)戰(zhàn)中往往能發(fā)揮出奇兵的作用。在一起賭博案件偵查中，偵查人員在抓獲犯罪嫌疑人時，犯罪嫌疑人已經(jīng)對手機(jī)進(jìn)行了全面的清理，沒有任何證據(jù)證明其與案件相關(guān)，但是偵查員通過提取了他的輸入法詞典，從詞典中發(fā)現(xiàn)了大量與案情有關(guān)的賭博詞匯，以此為依據(jù)，隨即對他展開猛烈攻勢，最終突破犯罪嫌疑人的防線，使其交代了犯罪事實(shí)。

如圖5所示，邏輯鏡像提取了日志文件14萬余條數(shù)據(jù)，并且還提取了機(jī)主輸入法的用戶詞典；而不加密備份、加密備份這兩種備份方式僅僅提取了4萬余條數(shù)據(jù)，兩者相差了近10萬條數(shù)據(jù)。

圖5 日志文件和輸入法取證數(shù)據(jù)對比

3.5 即時通訊

對于手機(jī)取證來說，即時通訊的重要性再怎么強(qiáng)調(diào)都不過分，它不僅可以作為案件偵破的直接線索，固定后作為定罪量刑的證據(jù)，還可以為案件偵查提供方向和思路。

在這次實(shí)戰(zhàn)測評對比中，如圖6所示，邏輯鏡像提取了QQ記錄1萬余條數(shù)據(jù)，而加密備份、不加密備份兩種備份方式只提取了QQ記錄9千余條數(shù)據(jù)，邏輯鏡像比備份方式多提取QQ記錄800余條數(shù)據(jù)。

圖6 即時通訊軟件取證數(shù)據(jù)對比

4 結(jié)語

蘋果手機(jī)數(shù)據(jù)提取，大多數(shù)App用戶數(shù)據(jù)不支持備份提取，個別App備份數(shù)據(jù)不全，很多App通過備份提取僅能解析出賬號信息，沒有其他歷史記錄。對于twitter、telegram、telegram x、淘寶、閑魚、Gmail Skype、系統(tǒng)郵件、facebook、百度地圖、旺信、易信、uc瀏覽器、手機(jī)百度、百度、攜程、人人、potato、soul、遇見、聊天寶、百度云、dropbox、支付寶、谷歌地圖、signal、mqqi、百度貼吧等的運(yùn)用，也只能通過鏡像方式提取數(shù)據(jù)，無法通過備份方式提取數(shù)據(jù)。

通過多次驗(yàn)證和研究發(fā)現(xiàn)，蘋果手機(jī)IOS系統(tǒng)邏輯鏡像提取的數(shù)據(jù)量是最大的，其次是加密備份解析，再次是不加密備份。因此，在對蘋果手機(jī)IOS系統(tǒng)進(jìn)行取證時，應(yīng)該做到優(yōu)先提取邏輯鏡像，其次進(jìn)行加密備份，最后選擇普通的不加密備份。

在信息化不斷深入影響社會生產(chǎn)生活的今天，幾乎所有案件的偵查都離不開電子數(shù)據(jù)取證，電子數(shù)據(jù)取證已經(jīng)成為各類案件偵查的重要手段和工具，發(fā)揮著越來越重要的作用。但同時，隨著各種加密技術(shù)的發(fā)展和社會各界對個人隱私保護(hù)的普遍重視，電子數(shù)據(jù)取證的難度也越來越大，特別是在密碼破解、芯片取證等方面，由于破解難度太大，取證成本過高等問題，電子數(shù)據(jù)取證經(jīng)常面臨“理論上可行、實(shí)際上不行”的窘境。因此在公安實(shí)戰(zhàn)中我們要嘗試多種工作方法，評估成本和效果的關(guān)系，尋求一個最有利的平衡點(diǎn)，讓電子數(shù)據(jù)取證在偵查工作中發(fā)揮“殺手锏”的作用。