IOS智能終端中的易信取證分析方法

張厚寶

摘要：隨著信息化在全球飛速發(fā)展，智能終端設(shè)備已經(jīng)成了人們?nèi)粘Ｉ罟ぷ髦胁豢苫蛉钡慕M成部分。但是隨之而來的網(wǎng)絡(luò)犯罪也是逐年攀高。其中，IOS智能終端中的易信App由于界面簡潔，操作方便，因而具有大量的用戶使用它。因此，針對該App，提出一種取證分析方法，對于預(yù)防網(wǎng)絡(luò)犯罪，具有十分重要的理論與現(xiàn)實意義。

關(guān)鍵詞：手機取證;易信

中圖分類號：TP393? ? ? 文獻標識碼：A? ? ? 文章編號：1009-3044（2018）31-0189-04

Forensic Analysis Method of YiXin App in IOS Intelligent Terminal

ZHANG Hou-bao

（The Third Research Institute of Ministry of Public Security， Shanghai 201204， China）

Abstract： With the rapid development of information technology in the world， intelligent terminal equipment has become an indispensable part of peoples daily life. But the cyber crime that comes with it is rising year by year. Among them， the YiXin App in IOS smart terminal has a large number of users because of its simple interface and convenient operation. Therefore， a forensic analysis method is proposed for the App， which is of great theoretical and practical significance for the prevention of cyber crime.

Key words： mobile phone forensics; YiXin App

2004年，蘋果公司召集了1000多名內(nèi)部員工組成研發(fā)iPhone團隊，開始了被列為高度機密的項目，訂名為“Project Purple”，當中包括iPhone的幕后設(shè)計師Jonathan Ive。當時蘋果公司的首席執(zhí)行官史蒂夫·喬布斯從原本的重點如iPad的平板電腦偏離至轉(zhuǎn)向手機。蘋果公司跟AT&T秘密合作創(chuàng)造了一些硬件和軟件設(shè)備，在30個月動用了約$1.5億美元。作為交換條件，蘋果公司保證在4年內(nèi)，在美國出售的iPhone將交由AT&T獨家發(fā)售。在2007年6月11日的蘋果公司全球軟件開發(fā)者年會上，時任蘋果公司首席執(zhí)行官喬布斯公布iPhone將會支持第三方應(yīng)用程序Ajax，用以分享iPhone界面的外觀。2007年10月17日，喬布斯在蘋果公司"熱點新聞"的日志中張貼一封公開信，公布于2008年2月將會提供一個軟件開發(fā)工具包 （SDK）予第三方軟件開發(fā)者。當開發(fā)者把程序提交到應(yīng)用程序商店，蘋果公司將持有嚴格控制權(quán)。應(yīng)用程序商店讓用戶瀏覽及下載應(yīng)用程序，根據(jù)不同情況，用戶可免費或付款購買再下載到iOS設(shè)備中，亦可通過iTunes下載到電腦。如今，以iPhone為代表的IOS智能終端已經(jīng)擁有了大量用戶。

易信是由網(wǎng)易和中國電信聯(lián)合開發(fā)的一款能夠真正免費聊天的即時通訊軟件，獨特的免費電話、高清聊天語音、免費海量貼圖表情及免費短信及電話留言等功能，讓溝通更加有趣。易信支持跨通信運營商、跨手機操作系統(tǒng)平臺，可以通過手機通訊錄向聯(lián)系人免費撥打電話以及發(fā)送免費短信，向手機或固定電話發(fā)送電話留言，同時，也可以向好友發(fā)送語音、視頻、圖片、表情和文字。此外，還可以通過“朋友圈”拍照記錄生活，上傳文字、圖片與好友們分享自己的近況。易信支持Wi-Fi、2G、3G和4G數(shù)據(jù)網(wǎng)絡(luò)，目前支持iPhone、Android等手機系統(tǒng)版本，以及Windows PC平臺。2015年6月，易信正式上線3.5版本，適配Apple Watch，上線首日App Store社交榜首。2015年7月7日，易信免費通話功能強勢登陸WP平臺。由于易信的諸多特點，具有廣大的使用群體。

隨著移動通信技術(shù)所提供服務(wù)水平和服務(wù)種類的不斷提高和擴充，手機已日益成為人們工作生活中不可或缺的聯(lián)系工具，然而與此同時，利用手機進行詐騙、誹謗和偽造等犯罪活動也屢見不鮮。手機取證正是打擊這類犯罪的一個有效手段。從概念上講，手機取證就是從手機SIM卡、手機內(nèi)/外置存儲卡以及移動網(wǎng)絡(luò)運營商數(shù)據(jù)庫中收集、保全和分析相關(guān)的電子證據(jù)，并最終從中獲得具有法律效力、能被法庭所接受的證據(jù)的過程。因此，在IOS智能終端中針對易信提出一種有效的取證分析方法，具有很重要的意義。

1 手機取證基本流程

手機取證一般分為以下六個流程：準備階段、現(xiàn)場勘查、證據(jù)獲取、證據(jù)固定、數(shù)據(jù)分析、生成報告。具體如圖1所示。

1）準備階段：即調(diào)查機構(gòu)在受理案件時充分收集案件現(xiàn)場詳情，全面了解可能與案件相關(guān)的電子證據(jù)材料，并且根據(jù)掌握的現(xiàn)場電子證據(jù)相關(guān)情況以及可能存在的電子證據(jù)進行證據(jù)固定或現(xiàn)場數(shù)據(jù)提取工作制訂方案，準備可能用到的電子取證設(shè)備。

2）現(xiàn)場勘查：是電子取證最重要的一步，未按嚴格的流程而取得的證據(jù)很難具有法律效應(yīng)。取證人員在進入現(xiàn)場后，應(yīng)迅速封鎖現(xiàn)場，隔離人、機、物品，保護電子證據(jù)物品譬如存儲卡、手機等電子設(shè)備。

3）證據(jù)獲取：電子證據(jù)非常脆弱，很容易遭到破壞，因此，在收集的過程中，應(yīng)當由專業(yè)的取證人員或請電子取證鑒定機構(gòu)或公司的專業(yè)人員進行收集或提供專業(yè)咨詢，保證電子設(shè)備儲存的內(nèi)容不被破壞。對于易信取證而言，主要是獲取IOS智能終端中涉及易信的相關(guān)數(shù)據(jù)。

4）證據(jù)固定：在收集證據(jù)的過程中以及取證完成后，取證人員應(yīng)當及時記錄涉及到的每一個設(shè)備的基本信息、收集的時間、地點、數(shù)據(jù)來源、提取的過程、使用的方法、操作人以及見證人并簽字。

5）數(shù)據(jù)分析：在完成上述步驟后，取證人員會根據(jù)案件的訴求進行數(shù)據(jù)分析，以找到關(guān)鍵的證據(jù)或線索。對于易信取證而言，主要是分析易信App的賬號信息、好友和群基本信息以及聊天信息等。

6）生成報告：取證人員在取證完成后，需要對整個取證分析過程生成一個完整的報告。報告中所記錄事項的原則包括合法性、可采性，結(jié)論有完整的證據(jù)鏈可進行印證。

2 易信文件系統(tǒng)分析

使用“取證先鋒--綜合手機取證軟件”取證iPhone手機的文件系統(tǒng)，經(jīng)分析，在文件系統(tǒng)中/private/var/mobile/Containers/Data/Application/87E18742-71AB-4112-8366-56A81EEDDF89目錄即為易信App數(shù)據(jù)存放的目錄，如圖2所示。

對于該目錄下的各級文件進行分析可知，在/Documents/115908711目錄下存在core_user_v1.dat和msg2.db兩個對于易信取證而言有效的文件。

對于core_user_v1.dat文件進行分析可知，該文件存儲有易信的主賬號、群賬號昵稱等信息;對于msg2.db文件進行分析可知，該文件存儲有易信的好友賬號、聊天消息等信息。

3 易信數(shù)據(jù)取證分析

3.1 主賬號及昵稱取證

3.1.1 主賬號取證

經(jīng)過對易信文件系統(tǒng)的分析可知，找到/Documents目錄下純數(shù)字的文件夾，比對該文件夾名稱和易信App的主賬號可知，該文件夾的名稱即為主賬號。

3.1.2 主賬號的昵稱取證

該信息均存儲在core_user_v1.dat文件中。Winhex打開該文件后，utf-8編碼。在其中搜索主賬號昵稱“歐氏愛粉六”，找到信息如圖3所示。

分析該段數(shù)據(jù)，發(fā)現(xiàn)如下規(guī)律：

1） 該段數(shù)據(jù)以主賬號的賬號（115908711）數(shù)據(jù)（MainAccountData）開始。

2） 該段數(shù)據(jù)中存在唯一的一段數(shù)據(jù)（UniqueData），如下圖有顏色區(qū)域所示。

該段數(shù)據(jù)由黃色區(qū)域數(shù)據(jù)+紅色區(qū)域數(shù)據(jù)+藍色區(qū)域數(shù)據(jù)+綠色區(qū)域數(shù)據(jù)組成。其中紅色區(qū)域數(shù)據(jù)代表主賬號對應(yīng)十六進制數(shù)據(jù)的總長度，綠色區(qū)域數(shù)據(jù)代表主賬號對應(yīng)十六進制數(shù)據(jù)。

3） 主賬號昵稱“歐氏愛粉六”前面存在一串規(guī)律數(shù)據(jù)（NickNameUniqueData，經(jīng)驗證，主賬號和好友賬號均存在如下規(guī)律），如下圖有顏色區(qū)域所示。

該段數(shù)據(jù)由黃色區(qū)域數(shù)據(jù)+紅色區(qū)域數(shù)據(jù)+綠色區(qū)域數(shù)據(jù)組成。其中紅色區(qū)域數(shù)據(jù)代表主賬號昵稱對應(yīng)十六進制數(shù)據(jù)的總長度。

對以上規(guī)律分析可知，易信主賬號昵稱的取證步驟為：

1） 根據(jù)規(guī)律1可知，先讀取整個dat文件數(shù)據(jù)，在其中查找主賬號對應(yīng)十六進制數(shù)據(jù)的位置。

2） 根據(jù)規(guī)律2可知，從該位置后，讀取和UniqueData等長的數(shù)據(jù)TestUniqueData。若TestUniqueData等于UniqueData，則進入步驟三，否則在剩下來的數(shù)據(jù)中循環(huán)尋找該段數(shù)據(jù)，直到找到該段數(shù)據(jù)為止。

3） 根據(jù)規(guī)律3可知，從該位置以后的數(shù)據(jù)中匹配NickNameUniqueData，從而解析出主賬號昵稱。

3.2 群取證

3.2.1 群賬號取證

群賬號信息在msg2.db文件的msglog數(shù)據(jù)庫表中。使用sql語句select * from msglog where msg_type='2' group by id即可取證出各群的群賬號。

3.2.2 群昵稱取證

該信息均存儲在core_user_v1.dat文件中。Winhex打開該文件后，utf-8編碼。在其中搜索各群的群賬號和昵稱，找到信息如圖6所示。

經(jīng)分析，群信息以校驗位tinfo（其對應(yīng)十六進制編碼為0x74， 0x69， 0x6E， 0x66， 0x6F）開始，每個群的信息如圖7所示。

分析該段數(shù)據(jù)，發(fā)現(xiàn)規(guī)律為：該段數(shù)據(jù)由黃色區(qū)域數(shù)據(jù)（GroupUniqueData）+紅色區(qū)域數(shù)據(jù)+藍色區(qū)域數(shù)據(jù)+綠色區(qū)域數(shù)據(jù)+灰色區(qū)域數(shù)據(jù)組成。其中黃色區(qū)域數(shù)據(jù)（GroupUniqueData）代表群號+1200000001000000 +群號長度+00+群號，藍色區(qū)域數(shù)據(jù)代表群昵稱長度，灰色區(qū)域代表群昵稱。

根據(jù)以上規(guī)律可知，群昵稱取證的步驟為：

1） 找到tinfo所在的位置。

2） 在該位置以后讀取一定數(shù)據(jù)，在其中尋找GroupUniqueData數(shù)據(jù)的位置。

3） 找到GroupUniqueData數(shù)據(jù)的位置后，根據(jù)以上規(guī)律解析出群昵稱。

3.2.3 群成員賬號取證

該信息均存儲在core_user_v1.dat文件中。Winhex打開該文件后，utf-8編碼。在其中搜索各群的群成員賬號，找到信息如圖8所示。

經(jīng)分析，群成員賬號以校驗位tlist（其對應(yīng)的十六進制編碼為0x74， 0x6C， 0x69， 0x73， 0x74）開始。其中，每個群成員賬號的信息如圖9所示。

分析該段數(shù)據(jù)，發(fā)現(xiàn)規(guī)律為：該段數(shù)據(jù)由黃色區(qū)域數(shù)據(jù)（GroupMemberUniqueData）+紅色區(qū)域數(shù)據(jù)+綠色區(qū)域數(shù)據(jù)+灰色區(qū)域數(shù)據(jù)組成。其中黃色區(qū)域數(shù)據(jù)（GroupMemberUniqueData）代表0E000000+01000000+群號長度+00+群號+02000000，紅色區(qū)域數(shù)據(jù)代表群成員賬號長度，灰色區(qū)域數(shù)據(jù)代表群成員賬號。

根據(jù)以上規(guī)律可知，群成員賬號取證的步驟為：

1） 找到tlist所在的位置。

2） 在該位置以后讀取一定數(shù)據(jù)，在其中尋找GroupMemberUniqueData數(shù)據(jù)的位置。

3） 找到GroupMemberUniqueData數(shù)據(jù)的位置后，根據(jù)以上規(guī)律解析出群成員賬號。

3.2.4 群成員昵稱取證

該信息均存儲在core_user_v1.dat文件中。Winhex打開該文件后，utf-8編碼。在其中搜索各群的群成員昵稱，找到相關(guān)信息，并分析發(fā)現(xiàn)，其取證規(guī)律與主賬號昵稱取證規(guī)律一致。因此，群成員昵稱取證流程可以復(fù)用主賬號昵稱取證的流程。

3.3 好友取證

經(jīng)分析，好友賬號信息存儲在msg2.db文件的msglog數(shù)據(jù)庫表中。該表中id不等于群賬號的id為好友賬號。而好友的昵稱信息均存儲在core_user_v1.dat文件中。Winhex打開該文件后，utf-8編碼。在其中搜索好友的昵稱，找到相關(guān)信息，并分析發(fā)現(xiàn)，其取證規(guī)律與主賬號昵稱取證規(guī)律一致。因此，好友昵稱取證流程可以復(fù)用主賬號昵稱取證的流程。

3.4 聊天消息取證

經(jīng)分析，所有的好友聊天和群聊天消息均存儲在msg2.db文件的msglog數(shù)據(jù)庫表中。

聊天消息類型通過msglog數(shù)據(jù)庫表的msg_content_type字段來區(qū)別，具體如表1所示。

聊天消息發(fā)送者的賬號信息可以通過msglog數(shù)據(jù)庫表的msg_from_id字段來確定。

4 結(jié)束語

現(xiàn)如今，以iPhone為代表的IOS智能終端已經(jīng)擁有了大量用戶。且IOS智能終端內(nèi)擁有大量開發(fā)者開發(fā)的第三方應(yīng)用程序。其中易信是由網(wǎng)易和中國電信聯(lián)合開發(fā)的一款能夠真正免費聊天的即時通訊軟件，獨特的免費電話、高清聊天語音、免費海量貼圖表情及免費短信及電話留言等功能，讓溝通更加有趣。由于易信的諸多特點，具有廣大的使用群體。因此在IOS智能終端中針對易信提出一種有效的取證分析方法，具有很重要的意義。

該文通過對易信文件系統(tǒng)的分析，提取出其中有效的取證文件，并通過對其二進制格式或數(shù)據(jù)庫表進行分析，找出了易信主賬號、群、好友和聊天消息數(shù)據(jù)存儲的規(guī)律，進而實現(xiàn)了易信取證的方法步驟。并且由于IOS智能終端中的其他App的數(shù)據(jù)存儲格式很多也是數(shù)據(jù)庫表或者二進制文件格式，因此該文針對易信取證分析的方法對于其他App的取證也是具有借鑒的作用與意義的。

參考文獻：

[1] Wang X Q. How to discover the truth in data[J]. China Information Security， 2009（11）： 23-24.

[2] Neal L. Bringing big analytics to the masses[J]. Computer， 2013， 46（1）： 20-23.

[3] King C， Vidas T. Empirical analysis of solid state disk data retention when used with contemporary operating systems[J]. Digital Investigation， 2011（8）： 111-117.