本期美亚柏科技术专家延续【第二十七期(上)】与大家继续分享手机取证中iPhone手机越狱权限对于取证数据的影响,欢迎更多的技术达人前来交流!
通常,在手机取证过程中,软件允许对手机获取数据的权限越多,获取到的手机数据就会更加完整全面。本文主要从美亚柏科手机取证系列产品如:FL-900手机取证塔,DC-4501手机取证系统等产品对iPhone越狱和未越狱手机的数据获取情况,进行对比分析。
一、 iPhone越狱手机能获取到什么数据
手机信息:
1、手机基本信息:本机号码、设备名称、操作系统、系统版本、手机品牌、手机型号、I MEI/IMEID、IMSI、激活状态、设备ID、蓝牙MAC地址、Wi-Fi MAC地址、越狱情况、时区;
2、通讯录、已删除通讯录、短信、已删除短信、通讯记录、已删除通话记录、快速拨号、彩信、用户字典(用户词库);
3、记事本、已删除记事本、日历、已删除日历;
4、密码管理(获取通用密钥);
5、WI-FI信息、蓝牙信息;
6、位置信息:指南针校准数据、图片位置信息、视频位置信息、应用程序地理位置信息;
7、媒体文件:图片、音频、视频;
8、程序列表包含版本、安装/更新日期等;
9、同步帐号(iCloud帐号);
10、系统日志:使用过的号码、应用程序使用记录、连接过的主机列表;
11、用户文件、系统文件。
即时通讯(已支持40种应用):
微信、微信分身版、QQ、QQ轻聊版、陌陌、快牙、Telegram(电报)、钉钉、Talkbox、点点虫、YY语音、Voxer、DIDI(嘀嘀电话)、Whatsapp、米聊、旺信、飞信、LINE、遇见、易信、Viber、微话、Zello、CoCo voice、ooVoo、Peeem、Hellotalk、Tango、keechat、zalo、pal+(原cubi message)、有信、来电通、千牛、百度云、百度Hi、ICQ、Beetalk(蜜语)、全民K歌、Kik、Skype。
备注:微信、QQ、旺信、海豚浏览器支持已删除数据恢复;BBM(数据库被加密了正在逆向分析其解密方式)
邮件客户端(已支持6种应用):
自带邮件、QQ邮箱客户端、Safari网页邮件、139邮箱、网易邮箱大师、Gmail邮箱
电子商务:(已支持4种应用):
京东、天猫、淘宝、支付宝
行程记录:(已支持5种应用):
航旅纵横、滴滴出行、快的打车、去哪儿网、携程网
社交网络:(已支持5种应用):
新浪微博、腾讯微博、人人网、FaceBook、Twitter
手机安全:(已支持2种应用):
360手机卫士、360隐私保险箱
上网记录:
自带浏览器、UC浏览器、QQ浏览器、欧朋浏览器、百度浏览器、Chrome、海豚浏览器、傲游云浏览器、天天浏览器
地图导航:
自带地图、高德地图、百度地图、谷歌地图
二、 iPhone未越狱手机相比越狱手机少获取到什么数据
1、自带邮箱:只能支持极少信息的获取;
2、自带浏览器:只能获取到书签和当前打开的页面;
3、Keychain:暂不支持,无法获取相关密钥;后续可以通过工具的方式支持;
4、位置信息:基站信息,GPS,应用程序位置信息均获取不到;
5、系统使用日志:同步的主机列表获取不到;
6、iOS 8.3及以上未越狱部分应用暂不支持获取;
7、Telegram(电报)、YY语音、Whatsapp、旺信、LINE、易信、Viber、zalo、千牛、百度Hi、Beetalk(蜜语);
8、陌陌:未越狱不支持备份获取附件数据;
备注:未修改iTunes备份密码,则可以获取大部分数据;如果修改了备份密码,则大部分数据都无法获取。
三、 iPhone常见的越狱工具
爱思助手、91手机助手、itoos越狱助手、XY越狱助手:PP越狱助手、太极越狱工具等。
越狱可能存在的风险:
1、从cydia里面装入太多的插件可能会导致系统运行缓慢,插件之间也会发生冲突,甚至多次出现手机自动注销并进入安全模式的情况。
2、不稳定的设备和应用,设备的频繁和意外崩溃,冻结内置的应用程序,还会导致第三方应用程序和数据丢失。
更多技术干货请关注美亚柏科微信公众账号(meiyapico)