导语:锁定记录(Lockdown record)或配对记录(Pair Record)技术通常被取证专家用于访问锁定的iOS设备,他们通过使用从嫌疑人计算机中提取的现有锁定记录,进而使用iOS Forensic Toolkit和其他取证工具执行iOS设备的逻辑取证。本篇文章将讲述

锁定记录(Lockdown record)或配对记录(Pair Record)技术通常被取证专家用于访问锁定的iOS设备,他们通过使用从嫌疑人计算机中提取的现有锁定记录,进而使用iOS Forensic Toolkit和其他取证工具执行iOS设备的逻辑取证。逻辑取证有助于取证存储在系统备份中的信息,访问共享和媒体文件,甚至可以提取设备里的崩溃日志。但是,由于macOS使用访问权限保护锁定文件,锁定记录可能很难访问并且难以提取。今天,就让我们来看看如何访问macOS系统上的锁定文件。

什么是锁定记录?

关于锁定记录的其中一个解释是,它只是一个存储在用户计算机上的文件。更严格的说,锁定文件保留了加密密钥,这些密钥用于iOS设备与它们配对的计算机进行通信。这样的配对记录是在用户首次将其iOS设备连接到安装了iTunes的Mac或PC时创建的。即使iPhone被锁定,锁定记录也可以帮助iPhone与计算机通信,这样用户每次连接到PC时都不必解锁设备。这意味着,如果取证专家可以获得有效的、未过期的锁定记录,则可能能够对锁定的iOS设备执行逻辑取证。也就是说,锁定记录在一段时间后会过期。如果iPhone在打开电源或重新启动后至少解锁过一次(带密码),则只能使用锁定记录。否则,数据分区仍然是加密的,取证人员则只能访问非常少的信息,不过仍然可以获得有关该设备的一些基本信息。

macOS会保护对锁定文件的访问

在macOS中,锁定记录存储在/private/var/db/lockdown中,从macOS High Sierra开始,Apple限制访问此文件夹。如果要分析正在运行的系统,则需要手动授予对此文件夹的访问权限,这是怎么回事?有趣的是,Apple曾经有一篇关于修改锁定文件夹权限的文章,该文章后来从该公司的网站上被删除了。

如果要分析正在运行的系统,目前有两种方法可以授予对锁定文件夹的访问权限。第一种方法是使用终端并需要管理密码。如果取证人员不知道管理员密码,则可以使用GUI方法。

如何通过终端向锁定文件夹授予访问权限

要授予访问锁定文件夹的权限,取证人员需要发出以下命令:

sudo chmod 755 /private/var/db/lockdown

此命令需要管理权限:

1.png

如果取证人员不知道管理员密码,请使用其他方法。

如何通过GUI为锁定文件夹授予访问权限

取证人员还可以通过macOS GUI更改访问锁定文件夹的权限,具体步骤如下:

1.在Finder中,转到/private/var/db;

2.png

2.找到“lockdown”文件夹,观察 “locked”图标;

3.png

3.右键单击该文件夹;

4.png

4.打开 Sharing&Permissions设置;

5.png

5.将访问权限更改为Read only或Read&Write;

6.png

现在取证人员已成功授予对lockdown文件夹的访问权限,最后,取证人员可以将锁定文件复制到其他位置。取证人员进而可以使用iOS Forensic Toolkit对这些文件执行逻辑取证,即使iPhone或iPad使用未知密码锁定,也不会妨碍。

7.png


源链接

Hacking more

...