下载掌阅APP,畅读海量书库
立即打开
第一个案例和iPhone备份密码的提取有关。案例中的检材是一台新发布的iPhone12手机,出厂的时候就已经是iOS14.2,容量为512G。已知手机的屏幕密码,但该手机另设置了备份密码。需要提取短信记录与系统内置邮箱数据,恢复已删除信息,并快速锁定相关人员。在不设置备份密码的情况下,按照传统的取证方式,可以通过为该手机重新设置备份密码的方式进行,即当手机连接iTunes的时候,可以帮助办案人员把手机上的数据备份到PC或者到云端。但如果手机设置了备份密码,情况就大有不同,提取上述数据就需要嫌疑人输入备份密码,而恰恰嫌疑人忘记了本人设置的备份密码或拒不交代。这会使得传统的手机备份技术受限,影响案件的正常推进。手机提权技术的发展突破了手机取证的备份密码机制的限制。手机动态提权的方式可以协助技术人员获取嫌疑人的备份密码,备份密码的获取为接下来的取证理清了道路。其一,使用备份密码解析嫌疑人手机的备份文件;其二,直接使用提权复制嫌疑人手机的全盘镜像,进而获得案情需要的数据和资料。
到底什么是动态提权?动态提权为什么能突破iTunes备份的限制?iTunes备份为什么备份不了?隐藏于其后的原因是什么?iTunes备份或者其他手机取证工具的弊端引发的黑盒困境,将在讲座的推进中一步步揭秘,展示备份协议以及手机提权和手机作为取证工具的应用。
第二个案例是实践中经常遇到的,尤其是在涉政、涉诈、涉赌案件中,经常会遇到反侦查能力和反侦查意识极强的嫌疑人,为了逃避侦查,嫌疑人往往不会使用较为普及的聊天工具如微信、QQ等,而是选用WhatsApp来进行通讯聊天。刑事侦查过程中,如何提取嫌疑人的WhatsApp等的聊天内容?此类案例与第一个案例具有很强的相似性,此时,我们首先想到的还是用iTunes备份协议,或者采用常规的取证工具提取嫌疑人的WhatsApp数据。但是,WhatsApp的数据同案例1的情况相似,即iTunes备份协议不允许备份特殊的数据,以及当事人将WhatsApp设置为不允许备份,那此时的iTunes就无法自动备份,通过常规手段更无法提取手机数据。此时的解决方式是什么呢?就是漏洞,利用iTunes的漏洞可以将嫌疑人的手机数据做一个全盘镜像,刻制手机全部应用目录,一比一地拷贝手机数据。利用漏洞取证的方式是不受iTunes备份协议的限制的,可以实现手机取证的自由。
通过漏洞思维下的移动终端取证可以进行定向取证,定向取证首先需要考虑的要求就是隐私保护。手机取证的宗旨是定向且快速,而隐私保护要求在特定场景下的取证只能提取嫌疑人的某一个应用的数据。此外,很多刑事案件证据的固定、收集、提取需要争分夺秒,如果证据提取时间滞后,嫌疑人可能利用一些说辞来推脱,或者想到一些理由,或者直接清理手机数据,甚至通过其他方式恶意干扰办案。这时候,最需要的就是快速提取,拿到对定罪量刑有利的数据和证据。我们在实际办案中就利用快速提取的功能提取了嫌疑人相关数据的蝙蝠应用。如果使用常规的取证手段,通常的做法是将手机512G的数据全部提取备份,再全部进行解析,而后再分析应用里面的聊天布局,这样操作的耗时通常会非常长,可能需要几个小时。但是如果使用提权的方式,利用漏洞对手机的文件系统进行提权,就可以访问任何一个文件夹以及任何一个文件目录的数据,通过这种数据就可以直接访问蝙蝠文件夹,从而像从电脑或者手机上复制一个文件夹一样简单、快速。最快可以以15秒的高效拿到当事人蝙蝠应用的聊天数据库进行快速分析,在几分钟之内就能快速找到与嫌疑人相关的联系人的证据。
通过漏洞挖掘,手机的漏洞分析能给侦查人员带来惊喜。比如利用漏洞分析,我们能在手机上获取司法机关想要的数据。不仅包括当事人安装的第三方应用,如iPhone手机上下载的微信、QQ、支付宝等,还包括一些手机自带的应用数据的采集,诸如健康数据、常去地点、应用日志等,对应用日志数据的采集较为全面,涉及当事人手机曾经安装的应用日志,如安装时间、卸载时间等。在盘古石实验室技术采集数据的过程中,工程师打开当事人手机上使用过的应用的变更日志,所选择的路径方式是在Mobile Installation之下,通过日志分析了解当事人曾经装过哪个应用及使用时间。这样的分析方式通常会在交警处理违章而当事人否认的情况下使用,实际案情一般是交警去办理违法抓拍,同时视频监控也印证了当事人在玩手机的情形,但问题是他自己不承认。之后通过提取当事人手机应用日志进行分析,发现当事人曾经在事发时间段使用了手机,且手机屏幕是打开状态,而且还确定了事发时间段其正在使用抖音。由此就证实了当事人在事发时间段正在玩手机。应用日志变更分析作为一个辅助判断,为司法机关最终定案和分析案情提供了强有力的辅助,该案当事人最终承认事发时间其确实使用了手机。日志分析会协助司法机关发现很多有价值的线索。比如,利用日志分析可以确定你打开了何种应用、阅读了何种信息、阅读时长及打开内容的ID等,类似的数据全部是系统产生的日志,通常情况下普通人是无法通过iTunes备份、查看iTunes或者手机的目录的,因为手机不会给我们这样的访问权限。类似于Windows管理员,管理权限越大就越能实施更高级的操作。对于iPhone来说也是如此,通过权限设定和shell呈现,可以访问任意的目录来达到司法人员想要达到的效果,利用应用日志目录变更的方式取证是当前的前沿技术,能有效协助公安司法人员解决手机取证的难题。
此类案件涉及在当事人的所有手机数据已经完全抹除,且当事人拒不交代手机账号、密码的情况下如何取证并固定案件证据的实例分析。这种情况下,通过获取原手机的登录凭证,类似于微信首次登录之后,后续的登录就不再需要账号和密码的输入。同样的原理,在数据抹除的情况下获取到的手机登录凭证,可以不受嫌疑人不交代账号密码的限制,而是直接利用技术允许的工具去获取手机后台原始的账单数据,如支付宝账单数据、微信账单数据。同样,嫌疑人删除的数据信息也存在于手机内存更隐私的key chain目录下面,其表现为一些对称的密钥数据,对于苹果手机来说,这个保护非常严格。
盘古石实验室恢复和提取手机已抹除数据的范围很广,包括微信红包、支付宝的交易记录、WhatsApp、Telegram、Twitter等涉外App;还有一些随着手机安全功能逐渐强大而产生的云存储设备数据的提取,包括iCloud云、华为云、小米云、三星云等手机厂家自设的云存储数据平台。此时,本机的数据虽已删除,但是仍然可以通过云平台获取更多的数据,在“云”环境下识别、获取、分析、展示手机云端数据,如微信、支付宝红包金额与账单、行程订单、云端备份等数据。这些是对手机取证系列产品的有效补充,也能完善司法机关的调查,获取完整的证据链。