手机取证中iPhone手机越狱权限对于取证数据的影响
通常,在手机取证过程中,软件允许对手机获取数据的权限越多,获取到的手机数据就会更加完整全面。本文主要从美亚柏科手机取证系列产品如:FL-900手机取证塔,DC-4501手机取证系统等产品对iPhone越狱和未越狱手机的数据获取情况,进行对比分析。
(一)iPhone越狱手机能获取到什么数据
手机信息:
手机基本信息:本机号码、设备名称、操作系统、系统版本、手机品牌、手机型号、I MEI/IMEID、IMSI、激活状态、设备ID、蓝牙MAC地址、Wi-Fi MAC地址、越狱情况、时区;
通讯录、已删除通讯录、短信、已删除短信、通讯记录、已删除通话记录、快速拨号、彩信、用户字典(用户词库);
记事本、已删除记事本、日历、已删除日历;
密码管理(获取通用密钥);
WI-FI信息、蓝牙信息;
位置信息:指南针校准数据、图片位置信息、视频位置信息、应用程序地理位置信息;
媒体文件:图片、音频、视频;
程序列表包含版本、安装/更新日期等;
同步帐号(iCloud帐号);
系统日志:使用过的号码、应用程序使用记录、连接过的主机列表;
用户文件、系统文件。
即时通讯(已支持40种应用):
微信、微信分身版、QQ、QQ轻聊版、陌陌、快牙、Telegram(电报)、钉钉、Talkbox、点点虫、YY语音、Voxer、DIDI(嘀嘀电话)、Whatsapp、米聊、旺信、飞信、LINE、遇见、易信、Viber、微话、Zello、CoCo voice、ooVoo、Peeem、Hellotalk、Tango、keechat、zalo、pal+(原cubi message)、有信、来电通、千牛、百度云、百度Hi、ICQ、Beetalk(蜜语)、全民K歌、Kik、Skype。
备注:微信、QQ、旺信、海豚浏览器支持已删除数据恢复;BBM(数据库被加密了正在逆向分析其解密方式)
邮件客户端(已支持6种应用):
自带邮件、QQ邮箱客户端、Safari网页邮件、139邮箱、网易邮箱大师、Gmail邮箱
电子商务:(已支持4种应用):
京东、天猫、淘宝、支付宝
行程记录:(已支持5种应用):
航旅纵横、滴滴出行、快的打车、去哪儿网、携程网
社交网络:(已支持5种应用):
新浪微博、腾讯微博、人人网、FaceBook、Twitter
手机安全:(已支持2种应用):
360手机卫士、360隐私保险箱
上网记录:
自带浏览器、UC浏览器、QQ浏览器、欧朋浏览器、百度浏览器、Chrome、海豚浏览器、傲游云浏览器、天天浏览器
地图导航:
自带地图、高德地图、百度地图、谷歌地图
(二)iPhone未越狱手机相比越狱手机少获取到什么数据
自带邮箱:只能支持极少信息的获取;
自带浏览器:只能获取到书签和当前打开的页面;
Keychain:暂不支持,无法获取相关密钥;后续可以通过工具的方式支持;
位置信息:基站信息,GPS,应用程序位置信息均获取不到;
系统使用日志:同步的主机列表获取不到;iOS 8.3及以上未越狱部分应用暂不支持获取;
Telegram(电报)、YY语音、Whatsapp、旺信、LINE、易信、Viber、zalo、千牛、百度Hi、Beetalk(蜜语);
陌陌:未越狱不支持备份获取附件数据;
备注:未修改iTunes备份密码,则可以获取大部分数据;如果修改了备份密码,则大部分数据都无法获取。