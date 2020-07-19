Successfully reported this slideshow.
Android and iOS Forensics 主講人：陳詰昌 簡介/程序與指引/取證方法/實際操作
大綱 行動裝置鑑識簡介 Android系統取證 iOS系統取證介紹 行動系統取證實操
行動裝置類型
單位:百萬人 智慧型手機使用者 約佔1/3全球人口
https://en.wikipedia.org/wiki/Mobile_operating_system iOS : Android 約 1 : 4
https://www.businessofapps.com/data/app-statistics/ 每天花3小時52分 在智慧型手機
資料來源:NCC資料來源:Newzoo 2017全球手機市場報告
手機系統多元
硬體功能強大 APP應用多元
以上原因造成 取證困難
手機 電腦 雲端 手機取證需三者兼顧
手機取證已成為重要證據來源，然因為手機 系統多元、硬體差異及APP應用變化等因素， 對取證造成差異化結果。 然因為手機已成為連結電腦與雲端之中介設 備，於取證手機時應綜合考量，俾使取證效 果能達最大效果。
1.原始資料不可變動 2.存取原始資料必須符合資格及需要 3.保存鑑識過程記錄，並可由第三方驗證 4.承辦人員應遵守法律規範與鑑識規範 Good Practice Guide for Computer-Based Electronic Evid...
https://digital-forensics.sans.org/media/mobile-device-forensic-process-v3.pdf Developing Process for Mobile Device Forens...
緊急案件且具有取證訓練及工具 前提下，可自行取證；其餘建議 交由專業人員處理。 ~Guidelines on Mobile Device Forensic – NIST
準備 扣押與隔離 報告 擷取 檢驗與分析 取證程序
• 飛航模式 • 隔離袋 • 移除SIM卡 手機斷網 • 密碼解鎖 • USB debug • 取消螢幕鎖定 必要措施 • 擷取媒體資料 • SIM卡 • SD卡 • Cloud 扣押擷取 現場處理原則
扣押阻斷 通信方式 網路封鎖Google及Apple
PIN碼解除 遠端刪除或停用 扣押注意事項 避免更動手機內容
扣押擷取 手機斷網時同時也將雲端資料 進行捨棄，應衡平滅證與雲端 取證風險。
取證技術
擷取畫面
邏輯擷取 ADB backupiTunes backup
物理擷取 Joint Test Action Group(JTAG) dd image
Chip-off
數位鑑識是必須恪遵程序之應用科學，為避免取證 結果失誤或錯誤，造成鑑識結果誤謬，必須由符合 資格人員，依據數位鑑識原則與程序進行操作取證， 並將過程記錄，撰寫成報告。 目前Android及iOS手機已全面採用全磁碟加密及檔 案加密機制，採JTA...
Cellebrite公司設備取證分級
手機取證之困難在於取證方式必須為開機取證 (Live forensics)，因此有諸多系統權限限制， 形成權限差別對應不同程度之取證方法: •Logical extraction •File system extraction •Physica...
Android系統取證
Android ROM boot System recovery data cache SD 內建 外插 /system /data/data /mnt/sdcard/cache ANDROID檔案系統與路徑 取證重點系統kernel 復原 舊...
ANDROID加密演進過程 File-Based Encryption Full-Disk Encryption JTAG、 Chip-off失效 資料來源https://www.kaotenforensic.com/
現場查扣手機密碼鎖定狀況下， 需不需要外接電源保持開機狀態?
USB調試開啟 開啟信任未知來源 邏輯提取 物理鏡像 (dd) 產生報告 基本信息、社交網路 文檔解析等 未分配磁簇、删除還原等 產生資料html root 擷取程序 雲端取證 先進行手機取證，再利用手機進行雲端取證 避免手機既為取證目標又為取...
 使用者日常進行資料備份與復原。  不受Root權限的限制。  包含聯絡人、簡訊、通話紀錄及各類應用程式資料。（因手機廠牌型號而異）  通過對備份進行資料分析與還原而得到近似於Root後手機邏輯取證的结果。  通用備份命令： adb ...
Usb debugging MTP/PTP driver開發者模式 ADB取證前準備
Android logical acquisition ADB backup 部分APP無法備份 手機廠商備份APP ADB downgrade APP allowbackup SIM card extraction
ADB downgrade 移除APP：adb shell pm uninstall –k com.tencent.mm 安裝舊版：adb install wechat-old-version.apk 備份資料：adb backup -f we...
APP路徑
 密碼檔案 圖形密碼：/data/system/gestrue.key /data/system/ gatekeeper.pattern.key 數字密碼：/data/system/password.key /data/system/ gat...
安全機制(舊版) 系統手勢密碼 • 9個點的組合 • SHA1加密  系統複雜密碼 • 數字、字母、符號組合 • SHA1加密 第三方應用程式
Root?
Physical Extraction • ADB • Advanced ADB: 作業系統 (4.3-7.1)漏洞 • 暫時安裝程式至取證手機，並在手機執行，由OTG或記憶卡轉存映像檔。 • Smart ADB: 作業系統 (6.0-8.0)...
解鎖及繞鎖 Bypass lock screen Lockpick 利用晶片漏洞 Qualcomm、kirin、Exynos、MTK 不支援FBE加密 無法繞過Secure Startup Crack pattern/PIN lo...
Normal mode:正常開機 Safe mode:不載入第三方APP Recovery: 卡刷 Bootloader: 必須s-off下刷機 Fastboot: 線刷 Diagnostic *#0*# *#*#4636#*#* Androi...
物理擷取(Recovery Mode) Clockworkmod 前提要解除bootloader安全機制 https://www.clockworkmod.com/ TWRP 支援手機列表 https://twrp.me/Devic...
Recovery備份 已有高版本CWM Recovery 備份：插入空白記憶卡到手機，開機進入Recovery 模式，選擇備份到SD卡，得到備份文件後進行解析 缺点：部分手機無法插入記憶卡，部分手機無對應 CWM Recovery或無法刷...
雲端取證 歷史資料存雲端 • Telegram • Face 透過google Takeout匯出 • 應用程式 • 行事曆 • WIFI • 相簿 • Geolocation • book messenger
SQLite • 使用SQLiteViewer軟體進行還原 • 還原原理: 該資料並未真實刪除或覆蓋，僅以標示方式標註為刪除紀錄。 • 隨後各類APP推出真實刪除機制，致紀錄刪除還原困難。 • 在sqlite 3.7後，推出WAL(Write ...
練習 • 沒有Android手機學員，請開啟模擬器模擬手機 • 使用ADB連接取證手機 • 使用ADB將手機內資料備份 • SQLite viewer載入資料庫，進行對話刪除還原 • 匯出對話紀錄
iPhone型號判斷 2020/7/19 iPhone 7 之前 iPhone 8之後
系統架構 基於Mac OS X(六層)移植 四層：Core OS、Core Service、Media和Cocoa Touch App Store模式 HFS+及APFS文件系统 多媒體框架 高階框架、icloud存取、SQLite 運...
iOS磁區配置與檔案系統 System Disk0s1 / Data Disk0s2 /private/var HFS+ APFS: iOS 10.3後
iOS檔案類型 常見檔案類型 –plist –db –xml –pic/png/jpg –aud/amr
Touch ID 第一次應用在iPhone 5S手機 提供手機安全性 簡化了身份驗證繁瑣的輸入帳號 和密碼的操作過程。 指纹資料存放在Secure Enclave(keychain、pay) 一機一Touch ID
準備工作 •bonjour及Apple Mobile Driver開啟 •iTune版本要符合作業系統 • iPhone信任取證電腦 • 需要解鎖或解除停用狀態
iTunes backup C:Users<user>AppDataRoamingA pple ComputerMobileSyncBackup ~/Library/Application Support/MobileSync/Backup/
• Info.plist • 設備名稱 • IMEI • 安裝程式 • 電話號碼 • Mainifest.plist • 設備名稱/序號 • 加密設定 • Wifi設定 • Keybag • 應用程式 • Status.plist • 備份資料...
Encrypted Backup – EPPB(Elecomsoft) 暴力破解 字典檔攻擊
idevicebackup2 backup <backup> https://github.com/iFred09/libimobiledevice-windows
idevicebackup2 –u <udid> unback <backup>
Advanced logical acquisition • 比備份更多資訊，例如更多APP資料、log • 利用蘋果系統漏洞，iOS 8以後可取得 • App-shared documents • 播放軟體曾播過清單
iCloud backups
Jailbreak 獲取系統最高權限 系統分區訪問權 解決權限限制之取證限制
iOS設備執行模式 DFU模式 • 關閉設備 • 按住電源鍵3秒 • 同時按住Home鍵10秒 • 放開電源鍵，保持按住 Home鍵  恢復模式 • 關閉設備 • 按住Home鍵 • 同时連接電腦 • 保持按住Home直到自 動打開iTun...
越獄後擷取 iTunes備份不包含log、location、application data 越獄擷取 Cached mail: advanced logical extraction Geolocation System log ...
Checkm8
checkr1n 感覺是 越獄成功物理擷取 實際是 越獄成功filesystem
BFU Before First Unlock • 關機後第一次輸入密碼， 輸入正確密碼前幾乎所 有資料都是加密。 • 利用checkr1n之後，可 取得部分檔案資料。
商用取證工具 • UFED 4 PC • Oxygen Forensic Suite • UFED Premium • AXIOM
開機密碼暴破法
IP-BOX破密 iOS 8之前
Ufed Premium
iPhone密碼機制 •所有個人資料存在使用密碼加密容器(container)內 •硬體機制阻擋利用暴力密碼破解之方法(延長下次 輸入密碼時間)
iPhone取證困難 安全密碼 永久停用設備 第三方加密 具備份密碼的設備 檔案復原與資料挖掘
行動裝置鑑識挑戰 •硬體限制 •JTAG •Live forensics •檔案系統眾多 •解碼檔案格式 •簡訊 •通話紀錄
Take Break~
Smartphone forensics手機取證(1090719)
Smartphone forensics手機取證(1090719)
Smartphone forensics手機取證(1090719)
Smartphone forensics手機取證(1090719)
Smartphone forensics手機取證(1090719)
Smartphone forensics手機取證(1090719)
Smartphone forensics手機取證(1090719)
Smartphone forensics手機取證(1090719)
Smartphone forensics手機取證(1090719)
Smartphone forensics手機取證(1090719)

  1. 1. Android and iOS Forensics 主講人：陳詰昌 簡介/程序與指引/取證方法/實際操作
  2. 2. 大綱 行動裝置鑑識簡介 Android系統取證 iOS系統取證介紹 行動系統取證實操
  3. 3. 行動裝置類型
  4. 4. 單位:百萬人 智慧型手機使用者 約佔1/3全球人口
  5. 5. https://en.wikipedia.org/wiki/Mobile_operating_system iOS : Android 約 1 : 4
  6. 6. https://www.businessofapps.com/data/app-statistics/ 每天花3小時52分 在智慧型手機
  7. 7. 資料來源:NCC資料來源:Newzoo 2017全球手機市場報告
  8. 8. 手機系統多元
  9. 9. 硬體功能強大 APP應用多元
  10. 10. 以上原因造成 取證困難
  11. 11. 手機 電腦 雲端 手機取證需三者兼顧
  12. 12. 手機取證已成為重要證據來源，然因為手機 系統多元、硬體差異及APP應用變化等因素， 對取證造成差異化結果。 然因為手機已成為連結電腦與雲端之中介設 備，於取證手機時應綜合考量，俾使取證效 果能達最大效果。
  13. 13. 1.原始資料不可變動 2.存取原始資料必須符合資格及需要 3.保存鑑識過程記錄，並可由第三方驗證 4.承辦人員應遵守法律規範與鑑識規範 Good Practice Guide for Computer-Based Electronic Evidence - ACPO
  14. 14. https://digital-forensics.sans.org/media/mobile-device-forensic-process-v3.pdf Developing Process for Mobile Device Forensics - SANS
  15. 15. 緊急案件且具有取證訓練及工具 前提下，可自行取證；其餘建議 交由專業人員處理。 ~Guidelines on Mobile Device Forensic – NIST
  16. 16. 準備 扣押與隔離 報告 擷取 檢驗與分析 取證程序
  17. 17. • 飛航模式 • 隔離袋 • 移除SIM卡 手機斷網 • 密碼解鎖 • USB debug • 取消螢幕鎖定 必要措施 • 擷取媒體資料 • SIM卡 • SD卡 • Cloud 扣押擷取 現場處理原則
  18. 18. 扣押阻斷 通信方式 網路封鎖Google及Apple
  19. 19. PIN碼解除 遠端刪除或停用 扣押注意事項 避免更動手機內容
  20. 20. 扣押擷取 手機斷網時同時也將雲端資料 進行捨棄，應衡平滅證與雲端 取證風險。
  21. 21. 取證技術
  22. 22. 擷取畫面
  23. 23. 邏輯擷取 ADB backupiTunes backup
  24. 24. 物理擷取 Joint Test Action Group(JTAG) dd image
  25. 25. Chip-off
  26. 26. 數位鑑識是必須恪遵程序之應用科學，為避免取證 結果失誤或錯誤，造成鑑識結果誤謬，必須由符合 資格人員，依據數位鑑識原則與程序進行操作取證， 並將過程記錄，撰寫成報告。 目前Android及iOS手機已全面採用全磁碟加密及檔 案加密機制，採JTAG、Chip-off等方式遇到加密問 題，在無解密方法前，此類取證已無達到取證效果。
  27. 27. Cellebrite公司設備取證分級
  28. 28. 手機取證之困難在於取證方式必須為開機取證 (Live forensics)，因此有諸多系統權限限制， 形成權限差別對應不同程度之取證方法: •Logical extraction •File system extraction •Physical extraction
  29. 29. Android系統取證
  30. 30. Android ROM boot System recovery data cache SD 內建 外插 /system /data/data /mnt/sdcard/cache ANDROID檔案系統與路徑 取證重點系統kernel 復原 舊版後併入data
  31. 31. ANDROID加密演進過程 File-Based Encryption Full-Disk Encryption JTAG、 Chip-off失效 資料來源https://www.kaotenforensic.com/
  32. 32. 現場查扣手機密碼鎖定狀況下， 需不需要外接電源保持開機狀態?
  33. 33. USB調試開啟 開啟信任未知來源 邏輯提取 物理鏡像 (dd) 產生報告 基本信息、社交網路 文檔解析等 未分配磁簇、删除還原等 產生資料html root 擷取程序 雲端取證 先進行手機取證，再利用手機進行雲端取證 避免手機既為取證目標又為取證工具之混用
  34. 34.  使用者日常進行資料備份與復原。  不受Root權限的限制。  包含聯絡人、簡訊、通話紀錄及各類應用程式資料。（因手機廠牌型號而異）  通過對備份進行資料分析與還原而得到近似於Root後手機邏輯取證的结果。  通用備份命令： adb backup [-f <file>] [-apk|-noapk] [-shared|-noshared] [-all] [-system|-nosystem] [<packages...>]  一般的： adb backup -f D:backup.ab -noapk -noshared –all  特定的：（如備份LINE） adb backup –f D:backup.ab jp.naver.line.android 邏輯取證-ADB備份
  35. 35. Usb debugging MTP/PTP driver開發者模式 ADB取證前準備
  36. 36. Android logical acquisition ADB backup 部分APP無法備份 手機廠商備份APP ADB downgrade APP allowbackup SIM card extraction
  37. 37. ADB downgrade 移除APP：adb shell pm uninstall –k com.tencent.mm 安裝舊版：adb install wechat-old-version.apk 備份資料：adb backup -f wechat.ab com.tencent.mm
  38. 38. APP路徑
  39. 39.  密碼檔案 圖形密碼：/data/system/gestrue.key /data/system/ gatekeeper.pattern.key 數字密碼：/data/system/password.key /data/system/ gatekeeper.password.key  常見基本資訊 聯絡人與通話紀錄： /data/data/com.android.providers.contacts/databases/contacts2.db 簡訊： /data/data/com.android.providers.telephony/databases/mmssms.db 重要資料檔案路徑
  40. 40. 安全機制(舊版) 系統手勢密碼 • 9個點的組合 • SHA1加密  系統複雜密碼 • 數字、字母、符號組合 • SHA1加密 第三方應用程式
  41. 41. Root?
  42. 42. Physical Extraction • ADB • Advanced ADB: 作業系統 (4.3-7.1)漏洞 • 暫時安裝程式至取證手機，並在手機執行，由OTG或記憶卡轉存映像檔。 • Smart ADB: 作業系統 (6.0-8.0)漏洞 • Recovery • Bootlader • 晶片漏洞或製造商設計除錯用: • Qualcomm 9006(普通) 9008(緊急) • EDL(emergency download)
  43. 43. 解鎖及繞鎖 Bypass lock screen Lockpick 利用晶片漏洞 Qualcomm、kirin、Exynos、MTK 不支援FBE加密 無法繞過Secure Startup Crack pattern/PIN lock Cellebrite內建解鎖功能
  44. 44. Normal mode:正常開機 Safe mode:不載入第三方APP Recovery: 卡刷 Bootloader: 必須s-off下刷機 Fastboot: 線刷 Diagnostic *#0*# *#*#4636#*#* Android開機模式與取證
  45. 45. 物理擷取(Recovery Mode) Clockworkmod 前提要解除bootloader安全機制 https://www.clockworkmod.com/ TWRP 支援手機列表 https://twrp.me/Devices/
  46. 46. Recovery備份 已有高版本CWM Recovery 備份：插入空白記憶卡到手機，開機進入Recovery 模式，選擇備份到SD卡，得到備份文件後進行解析 缺点：部分手機無法插入記憶卡，部分手機無對應 CWM Recovery或無法刷入CWM Recovery
  47. 47. 雲端取證 歷史資料存雲端 • Telegram • Face 透過google Takeout匯出 • 應用程式 • 行事曆 • WIFI • 相簿 • Geolocation • book messenger
  48. 48. SQLite • 使用SQLiteViewer軟體進行還原 • 還原原理: 該資料並未真實刪除或覆蓋，僅以標示方式標註為刪除紀錄。 • 隨後各類APP推出真實刪除機制，致紀錄刪除還原困難。 • 在sqlite 3.7後，推出WAL(Write Ahead Logging)機制，可協助刪 除還原之需要。 • https://github.com/n0fate/walitean • Python walitean –f <wal-file> -x <output> • 使用SQLiteViewer進行刪除還原
  49. 49. 練習 • 沒有Android手機學員，請開啟模擬器模擬手機 • 使用ADB連接取證手機 • 使用ADB將手機內資料備份 • SQLite viewer載入資料庫，進行對話刪除還原 • 匯出對話紀錄
  50. 50. iPhone型號判斷 2020/7/19 iPhone 7 之前 iPhone 8之後
  51. 51. 系統架構 基於Mac OS X(六層)移植 四層：Core OS、Core Service、Media和Cocoa Touch App Store模式 HFS+及APFS文件系统 多媒體框架 高階框架、icloud存取、SQLite 運用、帳號與社群運用 硬體、網路、IO、TouchID等 高階功能、推播UI、Airdrop等
  52. 52. iOS磁區配置與檔案系統 System Disk0s1 / Data Disk0s2 /private/var HFS+ APFS: iOS 10.3後
  53. 53. iOS檔案類型 常見檔案類型 –plist –db –xml –pic/png/jpg –aud/amr
  54. 54. Touch ID 第一次應用在iPhone 5S手機 提供手機安全性 簡化了身份驗證繁瑣的輸入帳號 和密碼的操作過程。 指纹資料存放在Secure Enclave(keychain、pay) 一機一Touch ID
  55. 55. 準備工作 •bonjour及Apple Mobile Driver開啟 •iTune版本要符合作業系統 • iPhone信任取證電腦 • 需要解鎖或解除停用狀態
  56. 56. iTunes backup C:Users<user>AppDataRoamingA pple ComputerMobileSyncBackup ~/Library/Application Support/MobileSync/Backup/
  57. 57. • Info.plist • 設備名稱 • IMEI • 安裝程式 • 電話號碼 • Mainifest.plist • 設備名稱/序號 • 加密設定 • Wifi設定 • Keybag • 應用程式 • Status.plist • 備份資料詳細 • Full backup(y/n) • Date Itunes backup目錄內檔案
  58. 58. Encrypted Backup – EPPB(Elecomsoft) 暴力破解 字典檔攻擊
  59. 59. idevicebackup2 backup <backup> https://github.com/iFred09/libimobiledevice-windows
  60. 60. idevicebackup2 –u <udid> unback <backup>
  61. 61. Advanced logical acquisition • 比備份更多資訊，例如更多APP資料、log • 利用蘋果系統漏洞，iOS 8以後可取得 • App-shared documents • 播放軟體曾播過清單
  62. 62. iCloud backups
  63. 63. Jailbreak 獲取系統最高權限 系統分區訪問權 解決權限限制之取證限制
  64. 64. iOS設備執行模式 DFU模式 • 關閉設備 • 按住電源鍵3秒 • 同時按住Home鍵10秒 • 放開電源鍵，保持按住 Home鍵  恢復模式 • 關閉設備 • 按住Home鍵 • 同时連接電腦 • 保持按住Home直到自 動打開iTunes，設備 上顯示恢復模式 https://mrmad.com.tw/iphone-11-or-iphone-11-pro-restart-power-off-dfu-recovery
  65. 65. 越獄後擷取 iTunes備份不包含log、location、application data 越獄擷取 Cached mail: advanced logical extraction Geolocation System log cached application data Certain deleted data: 通訊錄、簡訊(advanced logical extraction) keychain (32bit 且無Secure Enclave前提)
  66. 66. Checkm8
  67. 67. checkr1n 感覺是 越獄成功物理擷取 實際是 越獄成功filesystem
  68. 68. BFU Before First Unlock • 關機後第一次輸入密碼， 輸入正確密碼前幾乎所 有資料都是加密。 • 利用checkr1n之後，可 取得部分檔案資料。
  69. 69. 商用取證工具 • UFED 4 PC • Oxygen Forensic Suite • UFED Premium • AXIOM
  70. 70. 開機密碼暴破法
  71. 71. IP-BOX破密 iOS 8之前
  72. 72. Ufed Premium
  73. 73. iPhone密碼機制 •所有個人資料存在使用密碼加密容器(container)內 •硬體機制阻擋利用暴力密碼破解之方法(延長下次 輸入密碼時間)
  74. 74. iPhone取證困難 安全密碼 永久停用設備 第三方加密 具備份密碼的設備 檔案復原與資料挖掘
  75. 75. 行動裝置鑑識挑戰 •硬體限制 •JTAG •Live forensics •檔案系統眾多 •解碼檔案格式 •簡訊 •通話紀錄
  76. 76. Take Break~

