原文:Extended Mobile Forensics: Analyzing Desktop Computers

by Oleg Afonin

翻译:李毅(liyi05@qianxin.com)

在移动取证方面,专家们正在分析智能手机本身可能对云数据的访问。但是,将搜索扩展到用户的台式机和笔记本计算机可能(并且可能将)帮助访问存储在智能手机机身上和云端的信息。在本文中,我们将列出所有可以为智能手机数据提供信息的相关痕迹。这些信息适用于Apple iOS设备以及运行Google Android的智能手机。

桌面和笔记本计算机上的移动痕迹

由于容量大,计算机存储可能包含比智能手机更多的证据。然而,与我们期待智能手机的带时间戳和地理标记的用户数据相比,这将是一种不同的证据。

用户的PC或者MAc可以给移动取证专家什么帮助?以下几类证据可以帮助我们从手机和云端获取数据。

  1. iTunes备份。这种类型的证据是iPhone特有的(或者更确切地说是Apple特有的),用户的计算机上发现的本地备份可以成为宝贵的证据来源。

  2. 保存的密码。通过即时提取存储在用户的Web浏览器(Chrome,Edge,IE或Safari)中的密码,可以构建用于破解加密的自定义词典。更重要的是,可以使用存储的凭据登录用户的iCloud或Google帐户并执行云提取。

  3. 电子邮件帐户。电子邮件帐户可用于重置用户的Apple或Google帐户(然后使用新凭据进行后续云提取)。

  4. 身份验证令牌。可用于访问用户的iCloud帐户中的同步数据(必须在用户的计算机上使用令牌; 在macOS上,可以提取可转移的不受限制的令牌)。还有Google Drive的令牌(可用于访问用户的Google Drive帐户中的文件)和Google帐户的令牌(可用于从用户的Google帐户中提取大量数据)。计算机本身也是一种痕迹,因为某些认证令牌被“固定”到特定的硬件并且不能被转移到另一个设备。如果计算机是“可信”设备,则可以将其用于绕过双因素身份验证。

iTunes备份

iPhone用户可以在Windows上安装iTunes(或者在Mac上使用内置的iTunes)。iTunes可以用作定期或者手动制作iPhone的本地备份、这些备份可以说是移动取证专家可以从用户计算机收集的证据中最宝贵的部分。

与Android的剥离式ADB备份相比,Apple的iPhone拥有更好的本地备份系统。Apple在关于iOS设备的备份中对本地备份进行了全面描述。

根据Apple的说法,“iTunes备份几乎包含了设备所有的数据和设置。”我们一贯的经验是,本地备份几乎包含了恢复现有iPhone或设置新设备所需的一切。将文件和设置传输到另一台设备既快捷又简单; 用户使用替换设备的体验与使用旧iPhone不会有太大的不同。甚至密码(iOS Keychain)也保存在本地备份中。

加密和不加密备份

用户可以选择使用密码保护其本地备份。受密码保护的备份是安全加密的。为了解密这些备份,需要破解或恢复密码。密码恢复攻击很慢,在高端GPU上每秒只能做100-150次尝试。

加密和未加密的iTunes备份之间存在巨大差异。在某种程度上,对于专家而言,密码保护的备份比没有密码的备份更为理想。Apple说以下有关备份加密的内容:

iTunes加密备份功能可对您的信息加锁和编码。加密的iTunes备份可以包含未加密的iTunes备份不包含的信息:

  • 保存的密码

  • Wi-Fi设置

  • 上网历史

  • 健康数据

我们只能从加密备份中提取已保存的密码(iOS Keychain)。未加密的iTunes备份仍包含Keychain; 但是,未受保护的备份中的Keychain的内容使用设备的特定安全加密密钥进行加密,允许您从抓取备份的设备上解密内容。

从iOS 11开始,iTunes备份密码可以重置; 要做到这一点,你需要iPhone机身和锁屏密码。从iOS 13开始,您需要使用锁屏密码在iTunes指定备份密码,或者使用iOS Forensic Toolkit。

最后,有些东西永远不会存储在本地备份中。

iTunes备份不包括:

  • 来自iTunes和App Store的内容,或直接下载到Apple Books的PDF

  • 从iTunes同步的内容,如导入的MP3或CD,视频,书籍和照片

  • 已存储在iCloud中的数据,如iCloud Photos,iMessages,以及文本(SMS)和多媒体(MMS)消息

  • 面部识别或触摸ID设置

  • Apple Pay信息和设置

  • Apple Mail数据

  • 活动,健康和钥匙串数据(要备份此内容,您需要在iTunes中使用加密备份。)

更多关于这个主题:

  • 关于iPhone备份最不寻常的事情

  • 揭秘高级逻辑提取

保存的密码

用户的密码可以存储在他们的计算机上,由流行的Web浏览器缓存或保存在密码管理器应用程序中。存储的密码可用于解锁BitLocker加密的硬盘驱动器,访问用户Google帐户中的iCloud数据和数据,破坏强加密或访问用户的全面位置历史记录。

Windows

在Windows中,一些具有保存密码功能的最流行的Web浏览器包括Google Chrome,Mozilla Firefox,Microsoft Edge和Internet Explorer以及Opera Browser。在所有这些浏览器中,存储的密码仅受到松散保护。因此,可以使用Elcomsoft Internet Password Breaker轻松提取它们。提取密码后,您可以使用它们构建自定义字典来攻击加密文档或执行云提取。

要从用户的iCloud帐户中提取数据,请在Elcomsoft Phone Breaker中输入保存的身份验证凭据。

要从用户的Google帐户中提取数据,请在Elcomsoft Cloud Explorer中使用相应的身份验证凭据。

更多关于这个主题:

  • 提取和使用浏览器密码

macOS

macOS将密码存储在Keychain中。原生和第三方密码都将存储在Keychain中,至少在谷歌Chrome中是这样。因此,访问密码需要提取和解密Keychain。

你可以使用Elcomsoft Phone Breaker(有Mac版本)从用户的iCloud帐户中提取数据。要从用户的Google帐户中提取数据,请在Elcomsoft Cloud Explorer中使用相应的身份验证凭据(有Mac版)。

更多关于这个主题:

  • 提取和使用浏览器密码(向下滚动到Extracting Chrome Passwords from macOS)。

邮件账户

认证电子邮件客户端(例如,Outlook或Windows Mail)或经过在线邮件服务(例如,Gmail,Hotmail等)认证的Web浏览器可用于请求重置其他用户的帐户密码。请注意,这对于使用双因素身份验证的Apple ID账户不起作用。它也不适用于Google帐户。但是,您仍可以为其他帐户请求密码重置,例如社交网络,聊天和即时消息帐户。

Lockdown记录

Lockdown记录或配对记录经常用于访问锁定的iOS设备。通过使用从嫌疑人计算机中提取的现有Lockdown记录,专家可以使用iOS Forensic Toolkit和其他取证工具对iOS设备进行逻辑采集。通过逻辑采集流程,专家可以提取本地备份,访问共享和媒体文件,甚至可以提取设备崩溃日志。

从用户的计算机提取Lockdown记录可以提供从锁定的iPhone提取数据的机会。请注意,只有AFU(After First Unlock)状态下的设备才能进行逻辑提取; 这就是为什么始终保持设备开启非常重要的原因。

关于Lockdown记录我们写了多篇文章。虽然其中一些已有几年历史,但从那以后几乎没有变化(特别是,Apple在iOS 11.3中添加了Lockdown过期,并且在macOS中使用访问控制保护Lockdown文件)。我们推荐以下文章:

  • 使用Lockdown记录获取具有锁定的iPhone

  • Apple iTunes:独立版本 vs. 微软市场版本

  • 在macOS上访问Lockdown文件

  • iOS 11.3为Lockdown(配对)记录添加到期日期

  • iOS Lockdown(配对)记录的取证含义

只有在设备未进入所谓的USB限制模式时,才能进行逻辑采集(即使使用有效的Lockdown记录)。有关USB限制模式的更多信息参见:

  • USB限制模式彻底研究

  • iOS 12增强USB限制模式

身份验证令牌

这些可用于访问用户的iCloud帐户中的同步数据(必须在用户的计算机上使用令牌;在macOS上,可以提取可传输的不受限制的令牌)。还有Google Drive的令牌(可用于访问用户的Google Drive帐户中的文件)和Google帐户(可用于从用户的Google帐户中提取大量数据)。

身份验证令牌是允许客户端(Web浏览器,iCloud for Windows,Elcomsoft Phone Breaker,[Elcomsoft Cloud Explorer](https://www.elcomsoft.com/ecx.html)等)连接到服务器而不为每个请求提供登录名和密码的数据。这些数据存储在小文件中(Web浏览器将它们存储在cookie中)。这些文件可用于避免用户在当前和后续会话期间输入其登录名和密码。这些非常相同的文件可用于云取证工具验证相应的云服务,而无需提供(或甚至不知道)用户的登录名和密码。

身份验证令牌不包含密码或其哈希值。相反,它们是完全随机的数据串。令牌不能用于破解密码。

身份验证令牌的使用是受限的。我们在下面列出使用令牌可以访问和不能访问的数据类型。

Apple账号

iCloud认证令牌特别难获取。它们是什么、使用什么工具创建、存储它们的位置,以及如何以及何时使用它们是我们经常被问到的问题。我们有许多文章阐明了身份验证令牌:

Windows: Apple将iCloud身份验证令牌绑定到创建它们的设备上。如果转移了,这种“绑定”令牌不能在另外的设备上使用。因此,人们只能在创建它们的同一台计算机上使用这些令牌。

macOS: macOS计算机也是同样的设备绑定。但是,除了“绑定”标记之外,我们还能够访问和解密不受限制的标记。您需要使用Elcomsoft Phone Breaker Forensic Edition从macOS中提取不受限制的令牌。您需要使用相同的工具来使用令牌从iCloud下载信息。

令牌适用于:访问同步数据,包括联系人,日历和便笺; Safari浏览历史记录和打开标签页; 钱包卡片; 通话记录; iCloud照片。您还可以从iCloud Drive访问文件,包括许多第三方应用程序容器(1Password,WhatsApp,Viber等),获取FileVailt2加密驱动器的恢复令牌,访问iCloud邮件。

您不能使用令牌:更改用户的iCloud密码;禁用双因素身份验证;访问密码(iCloud Keychain),屏幕时间,健康状况(iOS 12及更新版本)和消息。您无法使用令牌下载iCloud备份。(为了在技术上100%正确,iCloud备份可以使用非2FA帐户中的有效令牌下载。但是,这些令牌的生命周期仅限于创建令牌后的一小时。换句话说 它太短了,它的取证意义非常有限。)

更多关于这个主题:

  • 2019年使用和不使用密码访问iCloud(这可能是关于这个主题的最全面的文章。如果您只想阅读一篇文章,请选择这篇文章。)

  • 提取和使用iCloud身份验证令牌

  • iCloud身份验证令牌彻底研究

  • iCloud身份验证令牌的生与死:历史视角

Google账户

如果您可以访问用户的计算机(Mac或PC),则可以从该计算机中提取二进制身份验证令牌(使用Elcomsoft Cloud Explorer)并使用它来绕过密码和双因素身份验证保护。有几种类型的令牌,它们以不同的方式受到限制。

Google身份验证令牌是小XML文件。在Windows计算机上,它们存储在用户的硬盘上。在macOS里,它们保存在Keychain中。用户使用Chrome浏览器(对于Drive令牌是Google Drive应用)登录任何Google服务后,即会创建令牌。专家可以使用该XML文件中的数据来验证正在进行的和后续的会话,而无需要求用户重新输入密码或确认双因素身份验证提示。

Google身份验证令牌具有自己的一组限制。虽然它们没有被“绑定”到特定的计算机上并且可以轻松地转移到不同的PC或Mac,但是令牌不能用于攻击,重置或恢复用户的帐户密码。但是,令牌可用于关闭用户Google帐户中的双因素身份验证。

从Chrome浏览器中提取的令牌更具通用性,允许访问许多数据类别。另一方面,Google Drive应用生成的令牌只能用于访问用户Google Drive中的文件。

您可以在Windows和macOS平台上使用Elcomsoft Cloud Explorer自动提取、传输和使用Google身份验证令牌。

更多关于这个主题:

  • 无密码访问Google帐户数据

结论

移动取证不只是关于iPhone或Android手机机身的取证。可以从许多其他来源提取与移动设备的使用相关的更多证据。我们描述了可能在用户的计算机上找到的痕迹,以及它们用于移动取证的目的。即使您无法使用身份验证令牌访问备份或任何受保护的容器,Apple iCloud可以保留比您想象的更多的实时数据作为同步数据访问。

声明:本文来自取证者联盟,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。