在我们所用的 iOS 设备中,媒体文件占了很大一部分内存,也是我们使用频率最高的内容,媒体文件包括音频、图片、视频、文本等。一般情况下我们会在手机里面直接阅读这些内容,但一旦手机内存不够或是出现其它情况,我们就想到把它们提取出来,存放到其它位置。这时掌握快速的提取方法就非常的重要了,尤其是对于保存在 EXIF 元数据中的地理标记(位置数据)。
也许看到这,有些用户可能会问了,就是导出文件,插根线或是通过网络发送的方式导出来不就可以了吗,还需要单独地拿来讨论吗?在这里我要说明的是,从 Android 智能手机中提取图片和视频是非常容易的。
但对于使用 iOS 设备的用户来说,提取媒体文件虽然就是个非常复杂的过程,本文就让我们来看看如何在解锁和锁定两种模式下,从 iOS 设备中提取媒体文件,中间我会顺带介绍一些使用到的工具和提取技术。
提取媒体文件的方法
目前,我已经掌握了多种可以用来提取媒体文件的方法。本文我会介绍三种提取的方法,分别是物理采集法(Physical acquisition)、逻辑采集法(Logical acquisition )、媒体提取法(Media extraction)。
物理采集仍然是 iOS 设备可用的最佳采集方法,但是,如果设备被锁定,或者你不知道密码,又或者如果当前运行的 iOS 版本没有越狱,则物理采集就很难实现了。 不过,我有理由相信 iOS 10.3、iOS11.0、iOS11.1 会在不久的将来发布公开越狱。所以考虑到所有的复杂因素,下面讲到的逻辑采集才是我的首选方法。
逻辑采集是一种安全,简单的物理采集替代方案。逻辑采集不但可以提取所有的媒体文件,而且是一种干净且相对较快的方法。更重要的是,如果你想得到一个有效的锁定文件(配对记录),那即使在密码不知道的情况下,也可以从锁定的设备上进行 ituns 的备份。
但逻辑采集并非十全十美,并非在所有情况下都能生效。如果启用了备份密码,则可能成为提取的主要障碍。虽然可以在运行 iOS 11 的设备上重置备份密码,但仍需要知道并输入用户的密码才能执行重置。在较旧的设备上,备份密码更是一个障碍了。虽然在许多情况下,更新到 ios11 并删除密码可能是一种可行的策略,但出于其他一些目的,这个过程在法理依据上还值得商榷。另外,如上所述,你必须知道密码才能升级操作系统并删除备份密码。如果设备被锁定,并且你拥有的只是一个锁定文件,逻辑采集你就不要考虑了。
不管你要提取的 iOS 设备是处于解锁还是锁定状态,如果你已经有了锁定记录并且在开机或重启后至少解锁了一次,则你还有第三种提取方法 — — 媒体提取法。
媒体提取法就是通过使用 iOS 的专门计算机取证调查工具 — — Forensic Toolkit 2.50 及更高版本(含有“M”命令),借助专用的机制来访问和提取媒体文件,包括照片和视频文件,照片和视频的文件编辑信息,iBooks 应用程序里所含的书籍和 PDF 文件信息,录音和来自 iTunes 媒体库的信息。
媒体提取法绝对不是一我新发现的方法,因为它本质上是利用了漏洞来进行提取的。 iOS Forensic Toolkit 利用 iPhone 上运行的服务的方法是这样的:在图像捕捉(macos)和照片(Windows 10)应用程序传输照片时,趁机连接到这些服务。但是,与这些应用程序相比,iOS Forensic Toolkit 获取的信息要多得多。与 Windows / mac 应用程序相比,iOS Forensic Toolkit 可以执行以下操作:
1.除视频和照片外,还可以提取音乐,iBooks 和 PDF 文件。
2.对于每张图片,iOS Forensic Toolkit 都会提取图片被编辑的信息,比如是否被编辑过,何时被编辑的。
3.支持锁定记录以从锁定的设备中提取媒体文件。
很明显,在了解完以上三种方法后,iOS Forensic Toolkit 显然是我们心中提取媒体文件的一把利器,既然如此,就让我们看看 iOS Forensic Toolkit 具体是如何提取媒体文件的?
如何使用 iOS Forensic Toolkit 提取媒体文件
要使用 iOS Forensic Toolkit(版本 2.50 或更高版本)从 iPhone 中提取媒体文件,你就要确定你所要提取的设备是解锁的还是锁定的?
以解锁的 iPhone 为例,前提是使用 iOS 11,且密码是已知的。如果你即将提取的 iPhone 已经解锁,并且在运行 iOS 11 的情况下,你知道它的密码,请执行以下 5 个步骤:
1.通过调用 Toolkit-JB 命令启动 iOS Forensic Toolkit。
2.使用苹果数据线将 iPhone 连接到电脑,如果你能够解锁 iPhone,请通过确认“Trust this computer?”提示符(iOS 11 的情况下)输入设备密码来连接设备。
3.在主窗口中输入“M” (Media) 命令:
4.如果该设备尚未与电脑连接,则系统会提示你输入一个锁定文件,以提供锁定记录的路径,此时,当出现提示时,可以将锁定文件拖放到 iOS Forensic Toolkit 窗口中。此时,你就有了关于锁定文件和它们的准确位置的全面的记录信息。如果锁定文件有效,系统还会提示你保存媒体文件的路径,默认情况下为 AFC,位于 Windows 上的当前文件夹或 macOS 上的用户 Home 文件夹下。
5.这些文件将被提取并保存在你的计算机上,根据提取的数据量不同,提取时间也会从几秒钟到半个小时不等。
访问提取的数据
由于我的测试设备包含了 15000 多个文件,总大小为 27GB,耗时大约 20 分钟。所提取的文件会被自动保存,保存的位置位于被获取的 iOS 设备的原始媒体文件夹结构中。
虽然我提取的数据数量看起很多,但其中最重要的文件夹是:
1.DCIM 文件夹:包含图片和视频,此文件夹包含多个名为“XXXAPPLE”的子文件夹,其中 XXX 是一个范围从 100 到 999 的数字。实际上,如果你通过标准方式访问该设备,则这是唯一可用的文件夹。
2.书籍文件夹:来自 iBooks 应用程序的文件。
3. 购买的媒体文件夹:购买音乐(* .mp4 文件),请注意,这些文件都不包含在 iOS 系统备份中。
4.照片数据文件夹:照片编辑信息(裁剪,应用滤镜和特殊效果等),相册的链接信息,缩略图信息。
5.媒体分析文件夹:照片分析数据(用于按类别/对象快速搜索)。
6.录音文件夹:录音,如语音片段。
除了这些文件夹之外,你还将获得许多 SQLite 数据库和 PLIST 文件。不过目前,我还没有对这些数据库进行过分析。值得注意的是,在提取 SQLite 数据库完整的 WAL(写入日志)和 SHM 数据时,其中还包括一些未完成操作的信息。
提取的图像可能包含 EXIF 信息,其中位置数据可以说是最具争议性的,在 macOS 上,你可以在预览应用程序中选择 [Tools] 中的 [Show Inspector] :
HEIF/HEVC 文件上的媒体信息
iOS 11 和 macOS 11.13(High Sierra)增加了对 HEIF(高效图像文件格式)和 HEVC(高效视频编解码器)格式的支持,包括 iPhone 7/7 Plus 和更新的 ipad Pro 10.5 和 iPad Pro 12.9 第二代。
由于这些格式比较新,并且目前没有 iOS 11 和 MacOS High Sierra 以外的任何操作系统的本机支持,因此这些新格式捕获的图像可能会在你将其复制到计算机上时自动转换为常用的格式。不过是否启用自动转换,则由 iOS 设备上的 TRANFER TO MAC OR PC 选项控制。如果该选项设置为“自动”,则在使用 MacOS 上的“图像捕获”或“照片”将图像和视频)传输到计算机时,图像(和视频)将分别自动转换为 JPEG 和 MOV 格式。
无论 iOS 设备的转换设置如何进行设置,Elcomsoft iOS Forensic Toolkit 都会以各自的原始格式检索照片和视频。如果设备被锁定,并且你通过锁定记录访问媒体文件,则iOS Forensic Toolkit 是市场上唯一能够以原始格式提取媒体文件的工具。
总结
利用 iOS Forensic Toolkit 2.50 进行媒体提取的方法是一种快速简便的方法,可以从解锁和锁定的 iPhone 和 iPad 设备中提取媒体文件,而无需使用本地备份。
Originally published at 4hou.com.
如果你喜欢这篇文章,欢迎为我「鼓掌」给我支持〔可以多拍几下喔〕,分享给其他人,也可以「Follow」我,让我们为你提供更多优质文章。
