web-dev-qa-db-ja.com

フォレンジック分析のためにIphoneをマウントするか、フォレンジックイメージを取得します

Iphoneをマウントしてファイルを法医学的に確認するにはどうすればよいですか?私はFTK Imager(私が見つけた唯一の無料のプログラム)を持っていますが、ドライブとしてマウントせず、iPhoneのフォレンジックイメージを取得できないようです。セルタワーログ(Cells.plist)ファイルを取得しようとしていますが、実行するプログラムまたはメソッドが見つかりません。

電話はジェイルブレイクされていません。私はそうしたくありません。私は運が悪いのにWindows PCでFTKを試しました。 Macで多くのことを試しましたが、サイコロは試しませんでした。さらに、iphoneをMacの「デバイス」に表示することもできないようです(ただし、Iexplorerプログラムは機能しますが、実際の適切なファイルにはアクセスしません)。

ここで何を理解していませんか? (ストレージパーティションだけでなく)iPhone自体のイメージを取得する方法はありますか?

編集: Oxygen、AccessData、Encaseなどのツールを使用すると、より詳細な分析(セルタワーログなど)が可能になると思われますが、数千ドルではないソリューションを見つけることができません。また、Oxygenには「無料」バージョンがありますが、これはとにかくIexplorerで見つけることができるがらくたへのアクセスのみを許可します...

5
Matthew Peters

IFunBoxやiExplorerで試すことはできますが、本当にジューシーなものは簡単には利用できません。ほとんどのフォレンジックツールは、iPhoneにiTunesを介してバックアップを実行させるプロセスを経て、バックアップに保存されているファイルを分析します。

フォレンジックツールがなくても、次のような多くのツールの1つを試すことができます。 https://code.google.com/p/iphonebackupbrowser/

これにより、バックアップ内のファイルを参照できます。 Appleはゲートキーパーであるため、すべてが利用可能ではない可能性があることを理解してください。バックアップにどのファイルを入れるかを決定します。

編集:iOSデバイスをドライブとして考えることはできません。 Androidは、ドライブのイメージを取得できるように設計されているため、ドライブとして機能します。iOSは、ユーザーが必要と判断したものにのみアクセスできるように設計されています。

物理的な取得をサポートする多くの法医学ツールがあります***。
http://elcomsoft.com/eift.html (下部のチャートを参照)
http://www.oxygen-forensic.com/en/compare/devices/software-for-iphone (下部のステートメント)
http://www.cellebrite.com/mobile-forensics/capabilities/ios-forensics (下部のサポートセクションを展開します)
これらのツールにはすべて、4S以降を取得できないという例外があります。 4の更新不可能なブートローダーコードには、物理​​的な取得を可能にするエクスプロイトがあります。それ以外の場合、それはノーゴーです。

Appleのセキュリティ設計を読んで、なぜ私たちがそのような困難を抱えているのかを理解することができます。 http://images.Apple.com/ipad/business/docs/iOS_Security_Feb14.pdf

ITunesのバックアップは、iOSからデータを取得するための最も法医学的に有効な方法です。これは、電話を使用して、プログラムで行われる処理を自然に行うためです。

3
WMIF

あなたがやりたいことは、比較的複雑なアクションのセットです。これを行うためのツールにお金がかかることは、驚くべきことではありません。

2つのWMIFの言及を試すことができますが、明らかに制限があります。

法医学的に健全な画像を取得するには、適切な法医学ツールを使用する必要があります。法執行機関や法制度によって信頼できると見なされるためには厳格に厳密に従う必要があるため、コストのかかるものもあれば、需要を反映する価格モデルしかないものもあります。

0
Rory Alsop