一種基于iOS平臺微信取證分析

靳明遠

（湖北工程學院 湖北省孝感市 432000）

一種基于iOS平臺微信取證分析

靳明遠

（湖北工程學院 湖北省孝感市 432000）

隨著科技的不斷發展，在當前的社會中，智能手機正在得到越來越廣泛的應用，利用智能手機，能夠完成很多計算機的功能和應用。在當前的智能手機領域當中，蘋果公司生產的iPhone系列智能手機和iPad系列平板電腦，在全世界范圍內都受到了十分廣泛的歡迎，擁有極大的用戶基礎。騰訊公司開發的微信是當前社交聊天軟件中一個應用十分廣泛的軟件，其用戶數量已經超過了3.5億人。基于此，本文對一種基于iOS平臺的微信取證分析進行研究。

iOS平臺；微信取證；分析

前言

隨著科技的不斷發展，在硬件平臺、移動互聯網等領域當中，都得到了極大的進展。在人們的日常生活當中，智能手機正在得到越來越廣泛的應用，而在連接到互聯網之后，利用手機進行偽造、誹謗、詐騙等犯罪行為也日益增加。因而，在打擊此類犯罪行為的過程中，手機取證發揮著重要的作用。由于基于微信平臺的犯罪行為也較為常見，因此微信取證也具有十分重要的意義。而在iOS平臺中，需要進行越獄，才能夠更好的實現微信取證。

1 基于iOS平臺的取證

1.1 未越獄的情況下提取備份文件

蘋果公司面向PC和Mac，開發了iTunes，具有設備配置、第三方軟件下載、數據信息備份、多媒體文件播放管理等功能。利用iTunes，能夠對iPhone中的配置信息、網絡配置信息、應用程序信息、瀏覽器設置、電子郵件設置、聲音設置、個人收藏、最近通話、照片、備忘錄、日歷、聯系人、文字信息等進行自動備份。利用iTunes能夠對iOS設備的備份進行創建，同時可以對備份文件進行加密，基于不同的操作系統，備份文件的路徑也會不同[1]。在備份文件夾中，文件名的長度通常在40個字符左右，而有擴展名的文件很少，其余大多數文件才是真正的備份文件，是通過hash編碼計算，才得到了文件名稱。

1.2 越獄后擁有更多權限進行取證

在iPhone當中，為了達到省電、提高系統穩定性、刪除文件不產生垃圾等功能，用戶只有讀的權限，并沒有寫的權限。而在當前的技術水平下，可以利用手機取證系統來解決越獄的問題。例如，SafeMobile手機取證分析系統，能夠對iOS設備進行自動的備份，從而更加快速的提取iOS設備越獄之后的信息，使得用戶的操作難度得到了極大的降低。另外，利用該軟件還能夠通過對iTunes的應用，直接接續iOS設備備份文件，在越獄后，能夠支持手機鏡像問題，對更多的手機信息進行獲取。該軟件能夠擺脫系統權限的輸入，從而更加簡單的進行iPhone取證。

2 基于iOS平臺的微信應用

2.1 微信的基本概述

微信使騰訊公司在2011年發布的一款社交軟件，用戶利用微信，可以擁有通過文字、圖片、視頻、語音等方式與好友進行溝通與互動，除了流量費用以外，不會額外收取其它費用。在微信當中，包含有很多功能，例如QQ郵件、熱點新聞、視頻聊天、游戲中心、微信支付、QQ離線消息、漂流瓶、騰訊微博、搖一搖、附近的人、多人群聊等多種功能，在溝通交流和信息獲取方面，正在發揮著越來越重要的作用。隨著微信應用范圍的不斷擴大，微信取證也成為了手機取證中的一個重要的組成部分，利用SafeMobile軟件，能夠對微信中包括已經刪除的信息進行獲取[2]。

2.2 微信的文件路徑

在微信的Documents根目錄之下，32為編碼組成的文件夾十分重要，通過對手機微信號進行MD5校驗，能夠得到這一文件夾。其中得到的32為編碼，與微信的主文件夾相對應。每個微信號都具有唯一性的特點，因此，及時將幾個不同的微信賬號登錄在同一個手機當中，也會出現相應數量的文件夾。在相對應的文件夾當中，會對用戶賬戶中的大部分信息進行囊括，因此在iOS微信分析當中，發揮著至關重要的作用。

3 基于iOS平臺的微信數據

3.1 SQLite數據庫文件信息

在SQLite關系型數據庫管理系統當中，遵循ACID的要求，在一個較小的C庫當中存在，是一種共有的領域項目。在SQLite小型數據庫當中，具有高效、快速等特點，在 iOS 微信主目錄下，Documents/＜MD5（ID）＞/DB/MM.sqlite，其中SQLite數據庫就是MM.sqlite，利用SQLite查看器將其打開，就能夠進行相應的分析[3]。而在數據庫當中，好友列表對應著名為Friend的表。用戶通過賬戶與好友聊天，產生的聊天記錄的表名為Chat_＜MD5（用戶名）＞，其中每天聊天記錄消息都具有相對應的id，就是消息的識別符。

3.2 Plist格式文件信息

在Mac OS X中的GNUstep、NeXTSTEP、Cocoat等編程框架當中，對存儲序列化后的對象文件就是屬性列表文件。.plist是屬性列表文件的文件擴展名。在Plist文件當中，通常是在捆綁信息的儲存、用戶設置的儲存等進行應用。在舊式Mac OS當中，該功能是由資源分支所提供的[4]。在OS X系統中，常見的XML格式文件就是Plist。在蘋果的iOS系統的目錄結構當中，也存在著很多Plist文件，對QQ好友緩存列表、微信賬戶信息等進行存儲。通過微信查看QQ的好友分組、QQ好友信息、以及微信賬戶信息等，都是通過Plist文件格式在相應目錄中進行存放的。

4 結論

在iPhone、iPad等應用iOS平臺的設備中，通過越獄能夠對更高的權限進行獲取，從而更加便利的拉取相應的信息。以此對硬盤中的信息進行提取，能夠更好的實現取證。在實際應用中，在基于iOS平臺微信取證當中，可利用iOS平臺上微信的存儲和目錄結構特點，采用相應的方法進行取證，從而實現更好的應用。

[1]喬木，龔俊儒，沈杏林，楊 虎.基于iOS平臺的小型倉儲管理系統設計[J].計算機與現代化，2014，01：196～200.

[2]崔維，李暉，劉佳佳，王艷娟.基于iOS的企業APP客戶端的開發與實現[J].科技創新與應用，2014，24：30～31.

[3]楊蕙馨，王碩，馮文娜.網絡效應視角下技術標準的競爭性擴散——來自iOS與Android之爭的實證研究[J].中國工業經濟，2014，09：135～147.

[4]賀瀅睿，陸道宏，李建新，徐云峰.面向iPhone手機的電子數據取證分析[J].信息網絡安全，2013，10：87～90.

TP393

A

1004-7344（2016）10-0277-01

2016-3-15