我們都知道智慧手機中存儲了重要的資料,使它們成為極好的證據來源。 但是,資料保存和提取並不如想像中容易。並沒有單一的方式可簡單的提取證據。在這篇文章中,我們將按正確的順序描述 iPhone 保存與資料提取步驟,以便在能力範圍中取得最多的資料。

第一步:資料保存

第一個最重要的步驟是資料保存。 您必須確保iPhone維持相同狀態,並且在取得設備後不會修改(或遺失)任何資料。 以下是您需要做的事情:

  1. 啟用飛航模式(即使螢幕鎖定狀態下,通常可以下滑進入到控制中心)。
  2. 在控制中心裡再次確認Wi-Fi與藍芽是否關閉。
  3. 將iPhone接上行動電源。
  4. 若有相容於 iPhone 的 USB 配件,接上避免手機進入USB 限制模式(這功能僅針對iOS 11.4.1,iOS 12以上則無法排除)。
  5. 若有訊號遮蔽包,將iPhone與行動電源一同放入。

感覺iPhone保存的步驟還算簡單? 如果過程沒有絕對謹慎的處理,你會面臨到以下狀況

  1. 如果iPhone有指紋解鎖,請絕對不要觸摸到Touch ID! 否則,你會浪費五次嘗試用指紋解鎖手機的一次。 如果您需要檢查手機是否有螢幕鎖,請使用實體電源按鈕。
  2. 如果是iPhone X之後的型號,請不要將臉對上Face ID感應器。 當您拿起手機時,Face ID會立即開始辨識人臉。如果檢測到人臉,則會嘗試認證。如果人臉辨識連續失敗兩次,就只能使用密碼解開手機,這樣就浪費了使用嫌犯的臉解鎖的機會(人臉解鎖簡單過取得密碼)。在Apple自己的iPhone X產品發表會上也發生過這個情況:Apple Says Face ID Didn’t Fail Onstage During iPhone X Keynote
  3. 避免手機進入S.O.S.緊急模式。進到該模式後Touch與Face ID都會暫時失效直到輸入解鎖密碼。另外,USB 限制模式也會馬上啟用。
  4. 請注意iPhone生物識別的各種過期規則。
  5. 如果忘記啟用飛航模式,並關閉Wi-Fi與藍芽,手機可以從遠端刪除!

不要只是查扣手機

在合法查扣的程序下,記住不要僅查扣手機,若現場有嫌犯的筆電與桌機,也必須一起帶回。隨身碟、USB硬碟、Apple Watch或Apple TV等裝置有時也可幫助釐清案情。

如何提取上鎖的iPhone

  • GrayKey from GrayShift:  每一台約1.5萬至3萬美金,僅銷售給執法單位,根據官網資訊支援所有的iOS版本。

  • Cellebrite UFED Premium:  採解鎖次數計價,僅銷售給執法單位,支援所有的iOS版本,但較新版的iPhones XS, XR, and XS Max尚未支援(需透過CAS)。

  • Cellebrite Advanced Services:  僅提供服務給執法單位,裝置需在Cellebrite的實驗室進行解鎖。

以上幾個方式索價不菲,若機關在預算吃緊的情況之下,也可以採用Lockdown/Pairing方式來進行邏輯提取,重點這個方式必須取得嫌犯的PC或Mac,且手機需在AFU(After First Unlock)狀態,電腦也必須是曾經有成功與手機同步過,才能在手機鎖定的狀態下進行提取。

如何使用Lockdown檔案來取得iPhone備份檔

要使用Lockdown檔案來備份iOS設備,您需要以下項目:

  1. iOS裝置必須是開機狀態並在AFU模式。
  2. 從電腦或Mac上取得Lockdown資料。
  3. Elcomsoft iOS Forensic Toolkit: 取得電腦或Mac上的lockdown檔案。
  4. Elcomsoft Phone Breaker: 解密備份擋或暴力破解備份擋密碼。

提取Lockdown檔案

您必須從電腦上取得正確的lockdown檔案,才能透過Elcomsoft iOS Forensic Toolkit在iPhone上進行邏輯提取。lockdown檔案位置如下:

Windows Vista, 7, 8, 8.1, Windows 10: %ProgramData%\Apple\Lockdown
Windows XP: %AllUsersProfile%\Application Data\Apple\Lockdown
macOS: /var/db/lockdown

開始提取

  1. 執行Elcomsoft iOS Forensic Toolkit並輸入Toolkit-JB指令。
  2. 選擇B – Create iTunes-style backup of the device。如圖一。
  3. 如果失敗,可使用 I – Device Info確認iOS UUID與lockdown檔名是否一致。
  4. 如果原iTunes備份沒有設定密碼,iOS Forensic Toolkit會自動改為加密備份。預設密碼為: 123。
  5. 若原備份模式有設定密碼保護,則必須使用Elcomsoft Phone Breaker暴力破解備份檔案密碼。

圖一、Elcomsoft iOS Forensic Toolkit

總結

當在一個犯案現場查獲一支iOS裝置,若裝置不是關機狀態,則有機會透過嫌犯的PC或Mac上的lockdown檔案對裝置進行提取。這個方式必須建立在一個嚴謹的現場手機保存規範,手機在查扣之後必須關閉網路且絕對不能關機,才有機會成功的提取iOS裝置上的資料。