移动设备取证最佳实践：使用专门的工具，分别进行数据提取和分析

天津鸿萌科贸发展有限公司是 ElcomSoft 系列取证软件的授权代理商。

文章内容：

1. 移动设备取证的不同阶段

2. 取证软件的选择（Elcomsoft iOS Forensics Toolkit 取证软件）

3. 提取方法的选择

4. 常见错误及其后果

5. 分析阶段

6. 结论

移动设备取证的不同阶段

在不断演变的数字调查环境中，移动设备取证已成为执法工作的一个重要方面。来自各方面的有关数据提取、处理和分析的挑战日益增大，取证专家们好像急需一个通用的解决方案来解决所有这些问题。但是，我们仍然要强调，移动设备取证的各个不同阶段的重要性、提取的重要性，以及在这一领域中的专业知识的关键重要性。

取证涉及几个不容忽视的关键阶段。这些阶段包括诸如设备隔离、运输和适当的文档记录等初步任务。随后进行实际的提取过程，然后进行分析并生成报告，以供进一步调查或存档。

提取是移动设备取证中的一个关键阶段，因为它可以完成或破坏一项调查。选择正确的提取方法是至关重要的，以避免损坏设备，丢失关键数据，或浪费时间。移动设备取证中存在多种提取方法，包括先进的逻辑提取、基于引导的提取、基于代理的提取和基于云的提取。每种方法都有其优点和局限性，所以理解它们和获取必要的软件是至关重要的。

取证软件的选择

选择正确的取证软件对成功进行数据提取至关重要。考虑与不同设备的兼容性、可靠性、速度和软件运行的平台等因素。在购买任何软件之前，必须进行彻底的研究，以确保它符合您调查的具体要求。

Elcomsoft iOS Forensics Toolkit 取证软件

Elcomsoft iOS Forensics Toolkit 软件工具包适用于取证工作，对 iPhone、iPad 和 iPod Touch 设备执行完整文件系统和逻辑数据采集。对设备文件系统制作镜像，提取设备机密（密码、加密密钥和受保护数据）并解密文件系统镜像。

• 完整的文件系统提取和钥匙串解密
• 逻辑获取提取备份、崩溃日志、媒体和共享文件
• 旧版设备的密码解锁和物理获取
• 提取并解密受保护的钥匙串项目
• 通过修改后的引导加载程序，可提取特定 iPhone 和 iPad 型号数据，满足取证要求
• 自动禁用屏幕锁定以实现平稳、不间断的采集

支持：各版本 iPhone、iPad、iPad Pro 和 iPod Touch、第一代 HomePod；Apple Watch、Apple TV 4 和 4K；从 iOS 3 到 iOS 17 的所有 iOS 版本

提取方法的选择

移动设备取证存在多种提取方法，包括先进的逻辑提取、基于引导的提取、基于代理的提取和基于云的提取。每种方法都有其优点和局限性，所以理解它们和获取必要的软件是至关重要的。

对于 iOS 设备来说，低级别的提取是最有效的方法。可以获得完整的文件系统镜像并解密包含密码和加密密钥等重要数据的钥匙链。低水平的提取仍然是在安全的即时通讯中访问加密对话的唯一途径。然而，低级别的提取可用性仅限于较旧的设备或较早版本的 IOS，对较新 iOS 版本，需要再等一段时间才能支持。这种连续快速的更新和补丁，令数据提取工作成了取证专家的一个持续挑战。

对于低水平的提取，可选项有引导加载水平的提取和基于代理的提取。引导加载水平提取依赖于一些设备的引导器中存在的漏洞。对于64位的苹果设备，ElcomSoft 工具利用的是checkm8漏洞，它提供了可重复、可核实和安全的数据提取功能。但是，只有更老的设备(iPhone8/8+/iPhonex 以及更早产品和其他基于类似芯片的苹果设备)才可进行引导加载水平的提取。

如果一个设备无法进行启动加载级的提取，那么如果设备运行兼容的iOS版本，则可以使用基于提取代理的另一种方法。

在遇到不支持的iOS版本时，高级逻辑提取成为唯一可行的选择。虽然它允许提取设备备份、一些系统日志、媒体文件和元数据，但它可能无法从流行的即时通讯应用程序中检索到关键数据，如电子邮件信息或会话历史。

另外, 云提取方法可以提供一个可行的解决方案，特别是当无法读取物理设备进行提取时。这种情况可能包括设备的物理损坏，例如设备进水或硬件故障，以及设备经过恢复出厂设置或被清除干净，这些情况可能会妨碍数据检索工作。在所有这些情况下，ElcomSoft Phone Breaker 软件的云提取功能是最后的办法，在提供认证凭据的前提下，从苹果iCloud中提取所有可用信息。

常见错误及其后果

在数据提取过程中或提取之前，下面这些错误操作可能会导致数据丢失：

• 在提取过程中，设备连接网络，这可能会导致不必要的同步和/或远程除擦或远程锁定。
• 可使用低级别提取时，未捕获完整的文件系统，只创建了备份。
• 忽略检查其他潜在数据源，如旧的本地备份、云备份或其他设备。
• 重置密码，无意中锁定对关键数据的访问。
• 仅依靠一个软件工具而不进行交叉验证。

这些错误可能造成严重后果，并导致重要证据的损失。因此，必须谨慎行事，遵循最佳实践方法，并考虑所有可用数据来源，以确保移动设备取证调查取得成功。

分析阶段

分析阶段需要强大的硬件来有效地处理和解释提取的数据。与提取不同的是，分析通常需要更深思熟虑的人工方法。了解工具及其选择是极其重要的。例如，禁用一些计算机密集型选项，如图像识别，可以大大加快这一进程。最好使用多种软件工具进行交叉核对，并比较其结果，以得出更准确的结论。

虽然提取和分析的一体化解决方案可能很有吸引力，但它往往不是最有效的方法。某些供应商提供了出色的 iOS 设备数据提取能力，而其他供应商则可能专门针对安卓设备，有时甚至是针对特定的芯片组。在许多情况下，使用单独的提取和分析工具可以产生更好的结果，避免不必要的费用。

结论

我们不断强调在移动取证中数据提取阶段的重要性。这一阶段具有重要意义，因为提取数据的准确性直接影响到从数据中得出的结论的有效性。有些引人注目的案件，在提取过程中也犯了重大错误。ElcomSoft 的移动设备取证方法考虑到了所有这些方面。优先考虑合理的取证方法，如 Checkm8，并开发了具有相关特色的提取代理，广泛支持苹果移动设备操作系统。