移动端取证基础
移动端取证基础
随着智能手机的普及,移动端设备已成为数字取证的重要对象。移动设备中存储了通信记录、社交媒体数据、位置信息、照片视频等大量个人数据,对安全事件调查和法律诉讼具有重要价值。
一、移动端取证概述
1.1 移动取证的挑战
- 设备多样性:操作系统版本、硬件配置各异
- 安全机制:屏幕锁、加密、远程擦除等安全措施
- 数据动态性:数据随时可能被修改或删除
- 法律限制:取证需符合法律要求和隐私保护规定
1.2 移动设备中的证据类型
| 证据类型 | 具体内容 | 取证价值 |
|---|---|---|
| 通信数据 | 短信、通话记录、即时消息 | 通信行为分析 |
| 应用数据 | App数据、聊天记录 | 行为模式分析 |
| 位置数据 | GPS坐标、WiFi连接记录 | 活动轨迹追踪 |
| 多媒体 | 照片、视频、录音 | 事件记录 |
| 浏览数据 | 浏览器历史、书签 | 上网行为分析 |
| 凭据信息 | 账号密码、令牌 | 身份确认 |
二、Android取证
2.1 Android存储结构
Android基于Linux内核,存储结构包括:
- /data/data/:应用私有数据目录
- /data/app/:已安装应用APK文件
- /sdcard/或/storage/:外部存储
- /data/system/:系统配置数据
2.2 取证获取级别
| 获取级别 | 描述 | 完整性 | 要求 |
|---|---|---|---|
| 手动提取 | 通过界面手动操作 | 最低 | 仅需解锁 |
| 逻辑提取 | 提取文件系统数据 | 中等 | ADB连接 |
| 文件系统提取 | 完整文件系统复制 | 高 | Root权限 |
| 物理提取 | 位级完整镜像 | 最高 | Root或特殊模式 |
2.3 ADB提取
# 检查设备连接
adb devices
# 备份应用数据
adb backup -f backup.ab -noapk com.target.app
# 提取短信数据库
adb pull /data/data/com.android.providers.telephony/databases/mmssms.db
# 提取联系人
adb pull /data/data/com.android.providers.contacts/databases/contacts2.db2.4 关键数据位置
短信和通话记录
/data/data/com.android.providers.telephony/databases/mmssms.db
/data/data/com.android.providers.contacts/databases/contacts2.dbWiFi连接历史
/data/misc/wifi/WifiConfigStore.xml应用数据
/data/data/<package_name>/databases/
/data/data/<package_name>/shared_prefs/三、iOS取证
3.1 iOS安全机制
- 数据保护:基于硬件的文件级加密
- Secure Enclave:独立的安全芯片
- 代码签名:限制未授权代码执行
- 沙盒机制:应用数据隔离
3.2 iTunes/iCloud备份
iTunes本地备份
Windows: %APPDATA%\Apple Computer\MobileSync\Backup\
macOS: ~/Library/Application Support/MobileSync/Backup/备份内容
- SMS/iMessage数据库
- 通讯录、日历、备忘录
- Safari浏览历史和书签
- 应用数据(部分)
- 照片(未加密备份)
加密备份:启用加密备份可以获取更多数据,包括:
- WiFi密码
- 网站登录凭据
- 健康数据
- HomeKit数据
3.3 关键数据库文件
| 数据库 | 内容 |
|---|---|
| HomeDomain-Library/SMS/sms.db | 短信和iMessage |
| HomeDomain-Library/AddressBook/ | 通讯录 |
| HomeDomain-Library/Safari/ | Safari数据 |
| MediaDomain/PhotoData/ | 照片元数据 |
| AppDomain- |
应用数据 |
四、常见取证工具
4.1 工具对比
| 工具 | 平台支持 | 类型 | 特点 |
|---|---|---|---|
| Cellebrite UFED | Android/iOS | 商业 | 业界标准,功能全面 |
| Oxygen Forensic | Android/iOS | 商业 | 云数据提取能力强 |
| Magnet AXIOM | Android/iOS | 商业 | 云端分析功能 |
| MVT | iOS | 开源 | 恶意软件检测 |
| libimobiledevice | iOS | 开源 | 开源iOS通信库 |
4.2 MVT(Mobile Verification Toolkit)
由Amnesty International开发,专注于移动设备恶意软件检测:
# 安装MVT
pip install mvt
# 提取iOS备份信息
mvt-ios check-backup /path/to/backup
# 提取Android数据
mvt-android check-adb
# 检查特定IoC
mvt-ios check-iocs --iocs indicators.json /path/to/backup4.3 模拟器分析
使用Android模拟器分析可疑应用:
# 创建AVD模拟器
avd create avd -n forensic -k "system-images;android-33;google_apis;x86_64"
# 启动模拟器
emulator -avd forensic -writable-system
# 安装APK并监控
adb install suspicious.apk五、取证注意事项
- 法拉第笼:取证时应将设备置于法拉第笼中,防止远程擦除
- 飞行模式:尽可能开启飞行模式,阻断网络连接
- 电量保持:保持设备电量充足,避免自动锁屏
- 及时提取:移动设备数据易变,应尽快进行提取
- 完整记录:详细记录取证过程中的每一步操作
六、总结
移动端取证是数字取证领域的快速发展方向。Android和iOS设备的安全机制和数据结构各有特点,蓝队人员需要根据具体情况选择合适的取证方法和工具。随着移动设备安全性的不断提升,取证技术也在持续演进。