自从iOS9系统发布以来,新版本系统的iPhone手机已很难通过越狱来直接提取解析或者拷贝原始数据,给手机电子数据取证带来难题。
本期,数据恢复四川省重点实验室科研人员将介绍,如何利用iTunes官方备份方式获取iPhone手机备份数据,并对其进行解析提取。
一、背景介绍 在全球智能手机市场上,iPhone手机长期位居市场前列。
根据全球市场研究机构TrendForce官网发布最新报告显示,2016年第
二、三季度,iPhone手机以超过10℅的市场占有率,稳居市场前二位。
2016年第
二、三季度全球前六大手机品牌市场占有率 iPhone手机的高市场占有率和影响力,使得关于iPhone手机的电子数据提取一直是行业关注的焦点。
但自从iOS9系统发布以来,新版本系统iPhone手机已很难通过越狱来直接提取解析或者拷贝原始数据,这使得iPhone手机电子数据提取成为行业一大难题。
针对这一难题,数据恢复四川省重点实验室科研人员研究发现,可以使用iTunes官方备份方式获取iPhone手机备份数据,再使用第三方工具解密该备份数据,并进行全面解析和展示。
下面,将以iPhone 5C(iOS10.0.2)为例,详细讲解这一过程。
二、利用iTunes备份iPhone数据 1.连上iPhone手机,并授权,如图1;图1 2.点击继续,如图2;图2 3.点击“立即备份”进行备份,但注意备份时不要勾选“备份加密”,如图3;图3
三、查找iTunes备份数据 1. 点击文件夹“查看”选项,取消“隐藏受保护的 *** 作系统文件(推荐)”勾选,选择“显示隐藏的文件、文件夹和驱动器”,如图4;图4 2.iTunes备份默认路径在 Mac系统中为:资源库/Application Support/MobileSync/Backup;在XP系统中为:C:Documents and Settings用户名Application DataApple ComputerMobileSyncBackup;在Window 7及以上系统中为: C:Users用户名AppDataRoamingApple ComputerMobileSyncBackup,如图5;图5
四、解密iTunes备份数据 iTunes备份数据完成以后,可以选择第三方软件对其解密。
这里,我们选用效率源MTF 手机可视化行踪取证系统对其解密。
1.打开MTF 手机可视化行踪取证系统,调出功能栏,选择“工具箱”,如图6;图6 2.点击“解密IOS备份文件夹”,如图7;图7 3. 默认解密保存位置在C盘,点击选择iTunes备份的原始文件夹,进行文件夹解密,如图8;图8
五、压缩解析文件夹并提取数据 1.打开解析文件夹,如图9;图9 2.选中“C:XLYMTFData20161122112711”所有内容,点击鼠标右键选择“添加到压缩文件”,压缩格式选择勾选“ZIP”,解析文件夹,如图10;图10
六、解析展示iOS数据 1.打开MTF,调出功能栏选择“数据导入”,如图11;图11 2. 点击“浏览”,调出功能栏选择“数据导入”,选择“iOS数据包”,如图12;图12 3. 文件属性选择“All file”,选中之前压缩的zip文件,如图13;图13 4.数据加载成功后,鼠标左键单击该手机模型,如图14;图14 5.数据解析完成以后,可以对该iPhone 5C手机中扫描到的行为信息及位置信息进行展示,如图15;图15 6.在解析结果中,可以对该iPhone 5C手机中的应用列表信心进行展示,如图16;图16 通过以上步骤,成功实现了利用iTunes备份出iPhone手机数据,再利用MTF手机可视化行踪取证系统进行数据解析全过程,成功提取到iPhone 5C手机里的数据。
此方法也可以适用于其它型号的iOS设备数据提取。
结语:本期,数据恢复四川省重点实验室科研人员介绍了利用iTunes备份iPhone数据到使用效率源MTF手机可视化行踪取证系统对其进行解析的全部过程。
目前,在MTF手机可视化行踪取证系统最新版本中,已经可以直接使用USB提取方式对iPhone手机数据进行备份和解析,大幅提升了工作效率。
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)