移动设备取证实战指南:Android与iOS数据采集核心技术

本文深入探讨了从Android和iOS移动设备中获取最大数据量的推荐方法与技术步骤。涵盖了物理提取、文件系统提取、逻辑提取、ADB命令、云数据采集以及各类取证工具(如Cellebrite, Elcomsoft)的具体操作,是数字取证从业者的实用技术指南。

Android 采集推荐

鉴于大多数设备都使用基于文件的加密(FBE),物理提取可能无法实现。对于可以进行物理提取的设备,这应该能获取最多的数据。从手机收集最多数据的次优选择是完整的文件系统访问。

“热”设备应尽快采集。 解释一下“热”——如果设备处于AFU(首次解锁后)状态,请确保采集它,并尽可能确保设备不重启。重启将使设备进入BFU(首次解锁前)状态,并且在没有密码的情况下可能难以或无法采集。

所需物品:

  1. 在您的取证工作站上安装ADB。https://www.xda-developers.com/install-adb-windows-macos-linux/
  2. 您选择的取证工具。
  3. Mattia Epifani 的 Android 快速筛查脚本。https://blog.digital-forensics.it/2021/03/triaging-modern-android-devices-aka.html

Android 采集推荐步骤:

  1. 使用 Cellebrite UFED、Premium 或 Premium ES 获取物理提取或完整文件系统提取。这些是我首选的工具,其他工具也可以使用。
  2. 如果特定型号无法进行完整文件系统提取,请验证芯片组并尝试使用通用配置文件下的 Android Qualcomm/Qualcomm Live 选项。
  3. 在归还设备之前,请务必打开提取内容以确保数据未加密!
  4. 文件系统采集(这可能只是一个备份,而备份在较新的 Android 设备上获取的数据不多。)
  5. 如果在 Cellebrite UFED 上找不到特定的有效型号,请尝试通用 Android 选项。
  6. 使用取证工具进行逻辑采集——特别是当 ADB 进行不顺利时。我建议使用不止一种工具,或者使用单一工具的同时也捕获一个 ADB 备份用于验证目的。
    • 请注意,大多数工具将安装一个软件代理以便从设备提取数据。这是正常且被接受的。如果您被问及该软件代理的作用,只需提取 APK 并手动检查以审查其权限。
  7. 免费方法 – ADB 备份(捕获设备(全部)和 SD/媒体(共享))
    • adb backup –all
    • adb backup –shared
  8. 如果存在 SD 卡和 SIM 卡,请确保采集它们。
    • 我喜欢取出这些并单独采集,以确保没有遗漏任何东西。
    • 确保对 SD 卡进行写保护。
  9. 使用 Cellebrite UFED 进行聊天捕获。我喜欢通用选项,因为任何屏幕都可以被捕获并解析以供分析。
    • 我喜欢使用聊天捕获来抓取设备的设置屏幕,并访问可能无法通过上述方法提取的应用程序数据。此方法对于未解析或提取的应用程序非常有效。
  10. 提取云数据——如果您有授权! 我对此的首选工具是 Physical Analyzer 和 Elcomsoft。Magnet 和 Oxygen 也很好用。
  11. 我喜欢对设备运行一些 ADB 命令,以确保我提取了所有信息,并且我知道 Android 上存在什么。上面提到的 Mattia 脚本可以通过一个漂亮的 GUI 为您捕获所有这些命令。
  12. 始终打开提取内容以确保您得到了所希望的数据。 如果您有物理转储,Autopsy 是您能最快访问数据的方式!而且是免费的。(https://www.sleuthkit.org/autopsy/)。您也可以使用 FTK Imager 或类似的免费工具进行快速访问。

Android 采集会在设备上留下痕迹。如果您进行隐蔽操作——请在此处谨慎行事。在不了解您的工具和方法留下的足迹的情况下,不要走得太远。这些主题在 FOR585 课程 http://for585.com/course、博客和 https://www.cellebrite.com/en/resources/ 的网络研讨会中有更多介绍。另请注意,可能需要多次提取才能从这些设备中捕获最多信息。

iOS 采集推荐

对于 iOS 采集,我的方法一直很稳定,并且我没有像对 Android 那样偏执。您可以选择在 Windows 或 Mac 上工作。我两者都用。老实说,我的大部分采集工作都在我的 Windows 取证工作站上进行,但我确实有一台用于越狱的 Mac。

所需物品:

  1. 如果您计划在 Windows 上创建备份,请安装 iTunes。在 Mac 上,Finder 将起作用。
  2. 安装 iBackupBot(我更喜欢这个工具而不是其他免费工具,因为它可以选择转储崩溃日志)http://www.icopybot.com/download.htm
  3. 您选择的取证工具。
  4. ArtEx——如果您正在检查越狱设备。阅读 Ian Whiffin 的博客!http://www.doubleblak.com

推荐 iOS 步骤:

  1. 确定 iOS 设备类型和 iOS 版本。
  2. 获取完整文件系统提取。我更喜欢使用 Cellebrite UFED checkm8。
    • 如果设备已经越狱,我将使用 Cellebrite UFED 完整文件系统。其他工具也可以。
    • 如果我获得了完整文件系统提取,除了获取日志文件(在步骤 6 和 7 中提到)外,我会在此步骤停止。
  3. 进行文件系统/高级逻辑提取——您必须加密提取!
    • 这可以在大多数工具中完成。我使用 Cellebrite UFED 并确保加密备份。Cellebrite 将使用 1234 来执行此操作。
    • 如果使用其他工具,请确保存在加密提取的选项,否则从 iOS 13 开始您将丢失大量数据。有关这方面的更多信息,请参阅我的其他博客。
  4. 如果您想做得彻底,可以获取设备的逻辑文件和/或备份文件。我通常在完整文件系统或文件系统转储处停止,因为如果我信任我的工具,它包含备份(有关此主题的更多信息,请参阅我的旧博客)。
  5. 将设备连接到 iBackupBot 并导出崩溃日志。
  6. 收集 sysdiagnose 日志并提取它们。这可以用 Elcomsoft 很好地完成。更多信息在 www.for585.com/sysdiagnose
  7. 通过将设备连接到 iTunes 并确保未选择“加密备份”,确保您使用的工具没有启用 iTunes 加密。这应在将设备交还给嫌疑人/保管人/证人之前执行。
  8. 提取云数据——如果您有授权! 我更喜欢本博客 Android 部分提到的相同工具。

每个人对工具和采集方法都有自己的偏好。对于大多数设备来说,完整文件系统是性价比最高的选择。确保验证您提取的数据,并在出现问题时联系您所依赖的供应商。

comments powered by Disqus
© 2020 - 2026 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次