一種基于iOS平臺微信取證分析

靳明遠

（湖北工程學院 湖北省孝感市 432000）

一種基于iOS平臺微信取證分析

靳明遠

（湖北工程學院 湖北省孝感市 432000）

隨著科技的不斷發(fā)展，在當前的社會中，智能手機正在得到越來越廣泛的應用，利用智能手機，能夠完成很多計算機的功能和應用。在當前的智能手機領域當中，蘋果公司生產的iPhone系列智能手機和iPad系列平板電腦，在全世界范圍內都受到了十分廣泛的歡迎，擁有極大的用戶基礎。騰訊公司開發(fā)的微信是當前社交聊天軟件中一個應用十分廣泛的軟件，其用戶數(shù)量已經超過了3.5億人?；诖耍疚膶σ环N基于iOS平臺的微信取證分析進行研究。

iOS平臺；微信取證；分析

前言

隨著科技的不斷發(fā)展，在硬件平臺、移動互聯(lián)網(wǎng)等領域當中，都得到了極大的進展。在人們的日常生活當中，智能手機正在得到越來越廣泛的應用，而在連接到互聯(lián)網(wǎng)之后，利用手機進行偽造、誹謗、詐騙等犯罪行為也日益增加。因而，在打擊此類犯罪行為的過程中，手機取證發(fā)揮著重要的作用。由于基于微信平臺的犯罪行為也較為常見，因此微信取證也具有十分重要的意義。而在iOS平臺中，需要進行越獄，才能夠更好的實現(xiàn)微信取證。

1 基于iOS平臺的取證

1.1 未越獄的情況下提取備份文件

蘋果公司面向PC和Mac，開發(fā)了iTunes，具有設備配置、第三方軟件下載、數(shù)據(jù)信息備份、多媒體文件播放管理等功能。利用iTunes，能夠對iPhone中的配置信息、網(wǎng)絡配置信息、應用程序信息、瀏覽器設置、電子郵件設置、聲音設置、個人收藏、最近通話、照片、備忘錄、日歷、聯(lián)系人、文字信息等進行自動備份。利用iTunes能夠對iOS設備的備份進行創(chuàng)建，同時可以對備份文件進行加密，基于不同的操作系統(tǒng)，備份文件的路徑也會不同[1]。在備份文件夾中，文件名的長度通常在40個字符左右，而有擴展名的文件很少，其余大多數(shù)文件才是真正的備份文件，是通過hash編碼計算，才得到了文件名稱。

1.2 越獄后擁有更多權限進行取證

在iPhone當中，為了達到省電、提高系統(tǒng)穩(wěn)定性、刪除文件不產生垃圾等功能，用戶只有讀的權限，并沒有寫的權限。而在當前的技術水平下，可以利用手機取證系統(tǒng)來解決越獄的問題。例如，SafeMobile手機取證分析系統(tǒng)，能夠對iOS設備進行自動的備份，從而更加快速的提取iOS設備越獄之后的信息，使得用戶的操作難度得到了極大的降低。另外，利用該軟件還能夠通過對iTunes的應用，直接接續(xù)iOS設備備份文件，在越獄后，能夠支持手機鏡像問題，對更多的手機信息進行獲取。該軟件能夠擺脫系統(tǒng)權限的輸入，從而更加簡單的進行iPhone取證。

2 基于iOS平臺的微信應用

2.1 微信的基本概述

微信使騰訊公司在2011年發(fā)布的一款社交軟件，用戶利用微信，可以擁有通過文字、圖片、視頻、語音等方式與好友進行溝通與互動，除了流量費用以外，不會額外收取其它費用。在微信當中，包含有很多功能，例如QQ郵件、熱點新聞、視頻聊天、游戲中心、微信支付、QQ離線消息、漂流瓶、騰訊微博、搖一搖、附近的人、多人群聊等多種功能，在溝通交流和信息獲取方面，正在發(fā)揮著越來越重要的作用。隨著微信應用范圍的不斷擴大，微信取證也成為了手機取證中的一個重要的組成部分，利用SafeMobile軟件，能夠對微信中包括已經刪除的信息進行獲取[2]。

2.2 微信的文件路徑

在微信的Documents根目錄之下，32為編碼組成的文件夾十分重要，通過對手機微信號進行MD5校驗，能夠得到這一文件夾。其中得到的32為編碼，與微信的主文件夾相對應。每個微信號都具有唯一性的特點，因此，及時將幾個不同的微信賬號登錄在同一個手機當中，也會出現(xiàn)相應數(shù)量的文件夾。在相對應的文件夾當中，會對用戶賬戶中的大部分信息進行囊括，因此在iOS微信分析當中，發(fā)揮著至關重要的作用。

3 基于iOS平臺的微信數(shù)據(jù)

3.1 SQLite數(shù)據(jù)庫文件信息

在SQLite關系型數(shù)據(jù)庫管理系統(tǒng)當中，遵循ACID的要求，在一個較小的C庫當中存在，是一種共有的領域項目。在SQLite小型數(shù)據(jù)庫當中，具有高效、快速等特點，在 iOS 微信主目錄下，Documents/＜MD5（ID）＞/DB/MM.sqlite，其中SQLite數(shù)據(jù)庫就是MM.sqlite，利用SQLite查看器將其打開，就能夠進行相應的分析[3]。而在數(shù)據(jù)庫當中，好友列表對應著名為Friend的表。用戶通過賬戶與好友聊天，產生的聊天記錄的表名為Chat_＜MD5（用戶名）＞，其中每天聊天記錄消息都具有相對應的id，就是消息的識別符。

3.2 Plist格式文件信息

在Mac OS X中的GNUstep、NeXTSTEP、Cocoat等編程框架當中，對存儲序列化后的對象文件就是屬性列表文件。.plist是屬性列表文件的文件擴展名。在Plist文件當中，通常是在捆綁信息的儲存、用戶設置的儲存等進行應用。在舊式Mac OS當中，該功能是由資源分支所提供的[4]。在OS X系統(tǒng)中，常見的XML格式文件就是Plist。在蘋果的iOS系統(tǒng)的目錄結構當中，也存在著很多Plist文件，對QQ好友緩存列表、微信賬戶信息等進行存儲。通過微信查看QQ的好友分組、QQ好友信息、以及微信賬戶信息等，都是通過Plist文件格式在相應目錄中進行存放的。

4 結論

在iPhone、iPad等應用iOS平臺的設備中，通過越獄能夠對更高的權限進行獲取，從而更加便利的拉取相應的信息。以此對硬盤中的信息進行提取，能夠更好的實現(xiàn)取證。在實際應用中，在基于iOS平臺微信取證當中，可利用iOS平臺上微信的存儲和目錄結構特點，采用相應的方法進行取證，從而實現(xiàn)更好的應用。

[1]喬木，龔俊儒，沈杏林，楊 虎.基于iOS平臺的小型倉儲管理系統(tǒng)設計[J].計算機與現(xiàn)代化，2014，01：196～200.

[2]崔維，李暉，劉佳佳，王艷娟.基于iOS的企業(yè)APP客戶端的開發(fā)與實現(xiàn)[J].科技創(chuàng)新與應用，2014，24：30～31.

[3]楊蕙馨，王碩，馮文娜.網(wǎng)絡效應視角下技術標準的競爭性擴散——來自iOS與Android之爭的實證研究[J].中國工業(yè)經濟，2014，09：135～147.

[4]賀瀅睿，陸道宏，李建新，徐云峰.面向iPhone手機的電子數(shù)據(jù)取證分析[J].信息網(wǎng)絡安全，2013，10：87～90.

TP393

A

1004-7344（2016）10-0277-01

2016-3-15