火狐体育_移动系统的数字取证怎么做?

日期:2021-08-23 00:01:01 | 人气: 47223

火狐体育_移动系统的数字取证怎么做? 本文摘要:一般而言,移动设备常用的操作系统有苹果移动操作系统(iOS)、安卓、微软视窗、黑莓等。

一般而言,移动设备常用的操作系统有苹果移动操作系统(iOS)、安卓、微软视窗、黑莓等。现在主流的是苹果移动操作系统和安卓系统,主要的移动系统取证研究也是围绕这两个操作系统展开的。分析移动操作系统的取证方法,首先要相识其文件系统及存储治理系统:用于存储的硬件是闪存控制器、与非闪存、多媒体存储卡。内核卖力存储的模块包罗:存储设备的驱动、用于会见内存设备的子系统MTD(Memory Technology Device,内存技术设备)、块设备子系统、虚拟文件系统(Virtual File System,VFS)、能够很好地支持大容量与非闪存的文件系统等。

安卓操作系统为了实现应用的隔离,使用了沙箱的宁静架构,这也是移动系统取证需要思量的。1. 安卓系统取证(1)逻辑技术取证:在有根(ROOT)权限2的情况下,可以用adb pull下令把文件系统的差别部门复制到Ubuntu事情站中进一步分析。备份分析使用的RerWare、AFLOgical等也是不错的取证工具。(2)物理取证:包罗硬件与终端实现毗连的方法或者是物理上获取终端设备的方法,也包罗将终端设备中的软件在具有根会见权限的条件下运行以获取分区完整镜像的技术,JTAG(Joint Test Action Group,团结测试事情组)以及根权限下的种种技术方法等。

通过种种取证手段可以获取时间序列、系统文件类型、对文件分区的镜像和分析等。2. 苹果移动操作系统取证苹果移动操作系统的一个特点是用户大量使用“越狱“,越狱使得取证容易了,数据却不宁静了。越狱的利益是获得权限,可以安装未履历证的法式,其风险是系统宁静性大幅降低。苹果移动操作系统的文件系统是HFS+,SQLite数据库包罗地址簿、短信和呼叫记载等。

火狐体育

苹果移动设备和安卓设备的最大区别就是宁静性差别。苹果移动设备可以设置一个小我私家标识码(Personal Identification Number,PIN)(一般4位)来阻止非法会见,可以设置成一连输入10次错误码将抹掉设备上的所有数据。

苹果移动操作系统另有一个会员机制:MobileMe,允许用户在设备丢失的情况下远程设置密码。由于其加密机制,要获取苹果移动操作系统取证的内容仅仅获取磁盘镜像还不行,应该先破译或者绕过密钥;内容掩护密钥必须在获取阶段从设备中提取;需要解密存储的内容;密码用来完成一个主密钥荟萃;在实际操作中,应该先在线下提取源数据和盘算机掩护密钥。苹果移动操作系统取证方法包罗:(1)直接从毗连在电脑上的苹果移动设备上获取数据。

(2)使用苹果公司的协议,获取移动设备文件系统的一个备份或者逻辑拷贝。这种方式仅能从一个镜像文件中获取证据(使用同步协议),最大的问题是密钥的破解。(3)物理逐字节复制,即以传统的物理克隆的方法发生一个镜像文件。

其难题之处在于数据太大而且分析历程庞大,有时需要修改分区。苹果移动操作系统取证的最浩劫点在于突破加密机制。3. 安卓系统与苹果移动操作系统取证对比苹果移动操作系统和安卓操作系统各有优劣。苹果移动操作系统是完全关闭的,不开源,经由苹果公司的严格治理,在大部门情况下,第三方应用无法拿到所有应用法式接口,是宁静性很高的一个系统。

可是苹果商店有许多软件收费,只有通过越狱才气制止交费。从移动取证的角度讲,苹果移动操作系统的取证难度较大,在不越狱的情况下尤为难题。

火狐体育

安卓是一个开源而且免费的系统软件。在设计上,安卓允许自由替换系统组件,也因此泛起了鄙版放肆的情况。安卓系统自己宁静性不高,而且平台系统散乱,形成了“一个操作系统,多种硬件平台”的局势。

从移动取证的角度讲,安卓操作系统的取证比苹果移动操作系统难度较小。


本文关键词:火狐体育

本文来源:火狐体育-www.hammelco.com

产品中心