导语:在我们所用的iOS 设备中,媒体文件占了很大一部分内存,也是我们使用频率最高的内容,媒体文件包括音频、图片、视频、文本等。一般情况下我们会在手机里面直接阅读这些内容,但一旦手机内存不够或是出现其它情况,我们就想到把它们提取出
在我们所用的iOS 设备中,媒体文件占了很大一部分内存,也是我们使用频率最高的内容,媒体文件包括音频、图片、视频、文本等。一般情况下我们会在手机里面直接阅读这些内容,但一旦手机内存不够或是出现其它情况,我们就想到把它们提取出来,存放到其它位置。这时掌握快速的提取方法就非常的重要了,尤其是对于保存在EXIF元数据中的地理标记(位置数据)。
也许看到这,有些用户可能会问了,就是导出文件,插根线或是通过网络发送的方式导出来不就可以了吗,还需要单独地拿来讨论吗?在这里我要说明的是,从Android智能手机中提取图片和视频是非常容易的。但对于使用iOS设备的用户来说,提取媒体文件虽然就是个非常复杂的过程,本文就让我们来看看如何在解锁和锁定两种模式下,从iOS设备中提取媒体文件,中间我会顺带介绍一些使用到的工具和提取技术。
提取媒体文件的方法
目前,我已经掌握了多种可以用来提取媒体文件的方法。本文我会介绍三种提取的方法,分别是物理采集法(Physical acquisition)、逻辑采集法(Logical acquisition )、媒体提取法(Media extraction)。
物理采集仍然是iOS 设备可用的最佳采集方法,但是,如果设备被锁定,或者你不知道密码,又或者如果当前运行的iOS版本没有越狱,则物理采集就很难实现了。 不过,我有理由相信iOS 10.3、iOS11.0、iOS11.1会在不久的将来发布公开越狱。所以考虑到所有的复杂因素,下面讲到的逻辑采集才是我的首选方法。
逻辑采集是一种安全,简单的物理采集替代方案。逻辑采集不但可以提取所有的媒体文件,而且是一种干净且相对较快的方法。更重要的是,如果你想得到一个有效的锁定文件(配对记录),那即使在密码不知道的情况下,也可以从锁定的设备上进行ituns的备份。
但逻辑采集并非十全十美,并非在所有情况下都能生效。如果启用了备份密码,则可能成为提取的主要障碍。虽然可以在运行iOS 11的设备上重置备份密码,但仍需要知道并输入用户的密码才能执行重置。在较旧的设备上,备份密码更是一个障碍了。虽然在许多情况下,更新到ios11并删除密码可能是一种可行的策略,但出于其他一些目的,这个过程在法理依据上还值得商榷。另外,如上所述,你必须知道密码才能升级操作系统并删除备份密码。如果设备被锁定,并且你拥有的只是一个锁定文件,逻辑采集你就不要考虑了。
不管你要提取的iOS设备是处于解锁还是锁定状态,如果你已经有了锁定记录并且在开机或重启后至少解锁了一次,则你还有第三种提取方法——媒体提取法。
媒体提取法就是通过使用iOS的专门计算机取证调查工具——Forensic Toolkit 2.50及更高版本(含有“M”命令),借助专用的机制来访问和提取媒体文件,包括照片和视频文件,照片和视频的文件编辑信息,iBooks应用程序里所含的书籍和PDF文件信息,录音和来自iTunes媒体库的信息。
媒体提取法绝对不是一我新发现的方法,因为它本质上是利用了漏洞来进行提取的。 iOS Forensic Toolkit利用iPhone上运行的服务的方法是这样的:在图像捕捉(macOS)和照片(Windows 10)应用程序传输照片时,趁机连接到这些服务。但是,与这些应用程序相比,iOS Forensic Toolkit获取的信息要多得多。与Windows / Mac应用程序相比,iOS Forensic Toolkit可以执行以下操作:
1.除视频和照片外,还可以提取音乐,iBooks和PDF文件。
2.对于每张图片,iOS Forensic Toolkit都会提取图片被编辑的信息,比如是否被编辑过,何时被编辑的。
3.支持锁定记录以从锁定的设备中提取媒体文件。
很明显,在了解完以上三种方法后,iOS Forensic Toolkit显然是我们心中提取媒体文件的一把利器,既然如此,就让我们看看iOS Forensic Toolkit具体是如何提取媒体文件的?
如何使用iOS Forensic Toolkit提取媒体文件
要使用iOS Forensic Toolkit(版本2.50或更高版本)从iPhone中提取媒体文件,你就要确定你所要提取的设备是解锁的还是锁定的?
以解锁的iPhone为例,前提是使用iOS 11,且密码是已知的。如果你即将提取的iPhone已经解锁,并且在运行iOS 11的情况下,你知道它的密码,请执行以下5个步骤:
1.通过调用Toolkit-JB命令启动iOS Forensic Toolkit。
2.使用苹果数据线将iPhone连接到电脑,如果你能够解锁iPhone,请通过确认“Trust this computer?”提示符(iOS 11的情况下)输入设备密码来连接设备。
3.在主窗口中输入“M” (Media) 命令:
4.如果该设备尚未与电脑连接,则系统会提示你输入一个锁定文件,以提供锁定记录的路径,此时,当出现提示时,可以将锁定文件拖放到iOS Forensic Toolkit窗口中。此时,你就有了关于锁定文件和它们的准确位置的全面的记录信息。如果锁定文件有效,系统还会提示你保存媒体文件的路径,默认情况下为AFC,位于Windows上的当前文件夹或macOS上的用户Home文件夹下。
5.这些文件将被提取并保存在你的计算机上,根据提取的数据量不同,提取时间也会从几秒钟到半个小时不等。
访问提取的数据
由于我的测试设备包含了15000多个文件,总大小为27GB,耗时大约20分钟。所提取的文件会被自动保存,保存的位置位于被获取的iOS设备的原始媒体文件夹结构中。
虽然我提取的数据数量看起很多,但其中最重要的文件夹是:
1.DCIM文件夹:包含图片和视频,此文件夹包含多个名为“XXXAPPLE”的子文件夹,其中XXX是一个范围从100到999的数字。实际上,如果你通过标准方式访问该设备,则这是唯一可用的文件夹。
2.书籍文件夹:来自iBooks应用程序的文件。
3. 购买的媒体文件夹:购买音乐(* .mp4文件),请注意,这些文件都不包含在iOS系统备份中。
4.照片数据文件夹:照片编辑信息(裁剪,应用滤镜和特殊效果等),相册的链接信息,缩略图信息。
5.媒体分析文件夹:照片分析数据(用于按类别/对象快速搜索)。
6.录音文件夹:录音,如语音片段。
除了这些文件夹之外,你还将获得许多SQLite数据库和PLIST文件。不过目前,我还没有对这些数据库进行过分析。值得注意的是,在提取SQLite数据库完整的WAL(写入日志)和SHM数据时,其中还包括一些未完成操作的信息。
提取的图像可能包含EXIF信息,其中位置数据可以说是最具争议性的,在macOS上,你可以在预览应用程序中选择 [Tools] 中的 [Show Inspector] :
HEIF/HEVC文件上的媒体信息
iOS 11和macOS 11.13(High Sierra)增加了对HEIF(高效图像文件格式)和HEVC(高效视频编解码器)格式的支持,包括iPhone 7/7 Plus和更新的iPad Pro 10.5和iPad Pro 12.9第二代。
由于这些格式比较新,并且目前没有iOS 11和MacOS High Sierra以外的任何操作系统的本机支持,因此这些新格式捕获的图像可能会在你将其复制到计算机上时自动转换为常用的格式。不过是否启用自动转换,则由iOS设备上的TRANFER TO MAC OR PC选项控制。如果该选项设置为“自动”,则在使用MacOS上的“图像捕获”或“照片”将图像和视频)传输到计算机时,图像(和视频)将分别自动转换为JPEG和MOV格式。
无论iOS设备的转换设置如何进行设置,Elcomsoft iOS Forensic Toolkit都会以各自的原始格式检索照片和视频。如果设备被锁定,并且你通过锁定记录访问媒体文件,则iOS Forensic Toolkit是市场上唯一能够以原始格式提取媒体文件的工具。
总结
利用iOS Forensic Toolkit 2.50进行媒体提取的方法是一种快速简便的方法,可以从解锁和锁定的iPhone和iPad设备中提取媒体文件,而无需使用本地备份。