取证最前线：从iOS系统TAR包中提取用户位置信息等

虽然TAR只是UNIX操作系统中的未压缩文档，但这对于移动取证专家来说，却是非常重要的。

自从iPhone5S(苹果第一款64位iPhone)问世来，物理取证就变得异常困难。

配备了Apple 64位处理器的所有iPhone和iPad设备，由于它们采取了全磁盘加密技术，物理取证只能通过文件系统提取进行。

即使经过越狱的设备，也必须在设备上运行Tarball命令才能绕过加密。由于文件系统映像是由iOS捕获和打包的，因此无论使用何种工具执行物理取证，无论你使用的是iOS Forensic Toolkit工具，还是GrayKey（一款破解iPhone的工具），你都会得到与设备文件系统映像完全相同的TAR文档。

经常我会被问到的一个问题是：“我们可以用获取的TAR文件，得到一些什么信息？”

到目前为止，大多数可用于分析这些TAR映像文件信息的工具，都只是功能齐全的取证工具包中的一个小工具。你的选择仅限于是选择耗时耗力的人工分析，或者是使用高度复杂的自动化取证工具套件，除此之外，你别无选择。

不过Elcomsoft Phone Viewer 3.70的出现，提供了一个完美的替代手动分析和复杂工具套件的方案。使用它，数据取证人员可以访问通话记录，联系人，消息数据库，通知，浏览记录，当然还包括用户的位置数据。

为什么TAR文件对取证很重要？

与逻辑取证相比，物理取证则提供了许多实实在在的好处。至少，除了你在备份文档中看到的内容之外，你还可以获得以下所有的内容。

通知内容：在iOS 11之前，那些未被删除的通知也会出现在备份文件中，但在iOS 11之后，备份文件中是不会保留它们的。所以今天，你只能从TAR文件中提取通知。通知可能包含一些重要的证据，而这些证据在其他情况下是无法获得的，比如来自电子邮件账户、社交网络、银行和旅行应用、出租车应用等。
应用信息：在iOS中，开发人员可以控制要备份的信息。即使他们选择允许备份，开发人员也可能选择只对同一台设备提供数据，这意味着应用将使用硬件密钥进行加密，即使进行越狱也不可能破解。TAR文件可以通过允许不受限制地访问应用程序的沙盒数据，来解决此问题。Elcomsoft Phone Viewer会显示已安装的软件包列表，并显示每个应用程序数据的确切位置。
位置信息：与备份信息相比，你可以在TAR文件中看到更多的位置数据。

说到位置，Elcomsoft Phone Viewer可以从大量的信息源中提取位置数据。目前位置信息来源包括：