您现在的位置:首页 >> 移动互联 >> 正文
智能手机APP取证-iPhone数据提取与解析
发表时间:2016年7月3日 00:04 来源:IT168 安全专区 责任编辑:编 辑:麒麟

在《技术视界》第11期中,数据恢复四川省重点实验室科研人员以途牛软件为例子,介绍了一种编写手机APP取证脚本的方法。该技术方案扩展性强,可助力一线取证人员有效应对暂不支持的APP数据提取问题。文章投放后,受到极大关注,很大一部分读者微信留言、致电询问Iphone手机APP取证脚本的编写方法。本期,针对本问题,以Iphone手机APP数据为例讲解正常数据与删除数据的提取。相比正常数据,删除数据的提取与解析难度非常大,脚本编写步骤也更复杂,除了填写分析文档、插件智能匹配、定义数据结构和数据处理方法,还需要配置特征库文件才能实现。

随着手机互联网的进步,手机APP应用越来越多,APP应用数据的分析就愈加重要。要实现APP数据分析,首先需要建立一个分析规范,因此分析人员应该更深入、更透彻、更全面地研究各类手机的各类应用APP,探索更多有效方法,抓取到更多有效信息,实现精准数据分析。做好APP应用数据的分析规范,可以较大地提高相关取证产品在实际应用中提取出更多、更全的数据。在第11期中,数据恢复四川省重点实验室科研人员已经详细讲解了APP取证脚本的编写流程与方法,这其实就是一种分析规范。对于暂不兼容的APP,一线人员可根据这种分析规范(或方法)自行编写取证脚本,提升兼容性。

一、数据提取1、解析应用APP

解析应用APP时,首先需要熟悉功能,了解数据存储结构。通过APP应用的主页,大致就能分析出数据的存储雏形,所以目测即可完成。下面,以APP“百度贴吧”为例详细讲解。

使用“百度贴吧”一段时间后,手机上就会产生一些数据(如图1),包括浏览历史、我的收藏、关注的人、我的粉丝、我的好友、消费记录、好友动态、我的吧动态等等。基于此,我们可以提取的信息大致包括好友信息(好友本身资料)、好友消息(聊天内容)、群组信息、群组消息、好友动态、浏览历史等。

▲图1:百度贴吧主页面

熟悉“百度贴吧”结构以后,可根据数据的重要性排列出提取顺序,以最重要的数据为最高点,依次降序处理。如图1,在分析时,可以首先把“我的好友”确定为重要数据(对于取证来说,所有数据都可能重要),将这个数据确定分析的入口,优先分析。当然,也可以选择“浏览历史”。

这里要注意,数据分析一定要全面、透彻,数据结构要严谨、层次。数据层次最好按照APP应用的呈现结构来处理,清晰明了,比如“百度贴吧”,就按照本身的数据结构来进行。

2、数据提取

对于iphone手机,可以通过SPF9139智能手机数据恢复取证系统的物理镜像提取数据,如图2:

▲图2:SPF9139镜像过程

▲图3:“百度贴吧”数据库文件

[1]  [2]  [3]  
相关文章
关于我们 | 联系我们 | 友情链接 | 版权声明
新科技网络【京ICP备15027068号】
Copyright © 2015 Hnetn.com, All Right Reserved
版权所有 新科技网络
本站郑重声明:本站所载文章、数据仅供参考,使用前请核实,风险自负。