[发明专利]未持有iOS设备情况下的离线取证方法

说明书

技术领域

本发明涉及数字取证中移动设备取证的技术领域，特别涉及一种未持有iOS设备情况下的离线取证方法。

背景技术

移动设备通常指任何具有内部存储和通信能力的数字产品。其中手机是最普遍使用的移动设备之一，已成为人们生活中不可或缺的联系工具。据IDC最新的统计报告显示，2012年全球智能手机出货量达6.86亿部,中国占据1/4达到26.5%，成为全球智能手机出货量最大的国家。在高端智能手机市场中，苹果和三星占据90%的市场份额。截至2012年9月iPhone5 发布时，苹果销售了 4 亿台 iOS 设备，而在 iOS 6 发布之后一个月的时间里，就有 2 亿台设备运行 iOS 6。这些统计数据表明iOS设备在移动终端占有重大的市场份额，在中国乃至全世界都拥有极其庞大的用户基数。与此同时，手机犯罪现象作为高科技犯罪的一种也随之涌现。智能手机取证在刑事侦查中的应用也将越来越多，对刑事侦查的支持也越来越强。因而对智能手机取证这一领域相关理论和实践研究也显得尤为重要。

移动设备取证是数字取证的一大分支，涉及到在可靠的取证环境下的数字证据的恢复和从移动设备中的获取。而智能手机不同于普通的功能手机，它的运算能力、存储能力已经接近甚至达到传统PC的水平，不仅如此，智能手机由于其丰富的App应用极大扩张了手机所能实现的功能，App在使用中所产生的数据和用户直接相关，包含了大量的隐私数据，而传统的手机取证技术所获取的信息（短信、联系人、图片等）已尽不能满足现代刑侦的需要。目前实际应用的取证软件都只是针对iOS设备本身，即在持有某一iOS设备的情况下对该设备进行取证作业。一旦未持有某一iOS设备，则无法获取该设备的任何信息，而本发明能很好地解决上述问题。

发明内容

本发明的目的就是在取证人员未持有目标iOS设备的情形下，提供一种间接的取证方法，结合iOS设备的自身的特点和机制，利用目标iOS设备曾经连接的PC或Mac上的iOS设备的管理软件iTunes，通过对iTunes所生成的文件的解析，获取到目标iOS设备信息(IMEI、GUID等)和相对与当前时间较早或同等时间的目标iOS的设备所包含的嫌疑人敏感信息(短信、联系人、通话记录等)，从而实现对目标iOS设备的模糊取证。

本发明提供一种未持有iOS设备情况下的离线取证的方法，包括：取证人员在未持有iOS设备的情况下，转而去寻求曾经与该iOS设备连接过的PC或Mac端的iTunes备份文件夹，在获取对该PC或Mac的控制后，实施针对iTunes备份文件的取证；根据不同的操作系统确定相应的iTunes备份文件夹的位置，并检测该备份文件夹内是否包含备份数据，若包含备份数据，则确定可以对该备份文件夹进行后续的取证工作，可以将PC或Mac端的存储部件作为原始证据隔离保护，亦可仅将iTunes的备份文件夹作为原始证据隔离保存，并进行MD5或SHA完整性校验，并制作备份；针对备份的iTunes备份文件夹进行解析取证操作。首先对备份进行完整性校验，与原始备份数据的MD5或SHA值进行比较，在确定一致的情况下，开始解析备份数据并记录取证实施过程；通过解析备份文件夹中的Info.plist文件，获取该备份的iOS设备的信息（设备名称、系统版本、手机号码、GUID、IMEI等）并将解析出的数据记录并生成iOS设备信息报告；通过解析备份文件夹中的Status.plist文件，获取有关该备份的信息（备份的时间、是否完全备份、UUID等）并将数据记录生成备份信息报告；通过解析备份文件夹中的Manifest.plist文件，获取所有已安装的App信息，将其中，即时通讯类App、地图/位置类App、搜索/查询类App等版本和路径信息记录，由于该类App包含大量用户数据信息，取证人员需要记录并解析其数据库文件；通过解析Manifest.mbdb和Domains.plist，将备份文件的文件名与原iOS系统中的文件全路径进行匹配，将备份的文件简单分类{基本信息（短信、联系人、通话记录）、多媒体信息（图片、音频、视频）、App信息、位置信息}，并根据数据载体的类型利用利用相关软件（SQLite Expert、Plist Editor）解析查阅，并将内容生成相应的分类报告；将上述生成的分类报告汇总，经过整理，排除冗余数据，对解析提取的结果生成总结性取证报告，并根据取证过程报告复核整个取证流程有无漏洞及违规行为，最后进行证据存档和提交。

方法流程：

本发明提供一种未持有iOS设备情况下的离线取证的方法，其包括如下步骤：