將 GrayKey 映像載入 Magnet AXIOM
在過去的幾年裡,iOS 裝置的大多數鑑識審查都局限於僅在 iTunes 備份中提供的資料,而且您必須擁有使用者密碼。當然,您可能已有異乎尋常的已破解裝置,但是,不管您所擁有的是價值一萬美元的商業鑑識工具,抑或是免費的擷取工具,諸如 Magnet ACQUIRE,您都會得到同樣的東西 – iTunes 備份/檔案的邏輯集合。如果沒有使用者密碼,那您將一無所獲,因此備份檔總比一無所有好。
輸入 GrayKey 的廠商 – Grayshift,GrayKey 這款工具可讓執法部門破解使用者密碼,從而略過資料保護延遲,並取得 iOS 裝置完整檔案系統的存取權限。這不僅讓調查員能存取此前因為沒有密碼而無法存取的裝置,還讓他們能存取多年來透過邏輯集合以外一直未能提供的 iOS 資料。在某些情況下,GrayKey 也會顯示以往我們從未有機會調查的資料!
眾所周知,GrayKey 僅僅是一種擷取工具,這意味著它可以讓調查員進入 iOS 裝置,並擷取找到的資料,但它無法協助執行任何分析。經由 GrayKey 擷取功能所擷取的資料會輸出至各種 zip 容器 (BFU、AFU、完整檔案、記憶體,以及 keychain.plist)。隨後,可使用 Magnet AXIOM 分析此類檔案。
對調查員而言,審查 iOS 時需要的理想 GrayKey 映像是 files.zip。它會顯示整個 iOS 檔案系統,並為調查員提供為數最多的資訊以用於其調查過程中。雖然其他類型的可用映像可為案例工作提供極大的鑑識價值,但在有 files.zip 映像時,始終會首先審查該映像。
您的 GrayKey 還會產生裝置擷取項目的 passwords.txt 和 HTML 報告。雖然 passwords.txt 清單很值得調查員查看,但是請確保在 AXIOM 中載入 keychain.plist 以供解析,而非載入 passwords.txt 檔案。
請謹記:即使您有使用者密碼,還是應使用 GrayKey 來執行擷取,以便您有盡可能多的資料可供處理,從而用於調查。
下一個容器是 mem.zip。這是 iOS 裝置的處理序記憶體傾印。在使用 Grayshift 的技術之前,調查員從未擷取過 iOS 裝置的處理序記憶體以供例行分析之用。在 Android 上可以執行記憶體擷取,但是由於這需要重新啟動手機,因此調查價值微乎其微。在此情況下,iOS 處理序記憶體包含有價值的資訊,且肯定也應當載入 AXIOM 中。
最後,其中最後一個檔案是 keychain.plist。大多數調查員都熟悉 iOS Keychain,因為其中包含使用者已儲存或使用的許多應用程式之使用者帳戶、密碼,以及金鑰,這對想要驗證雲端或其他來源的調查員而言可能也很有價值。與您在 iTunes 備份中取得的 Keychain 或在已破解裝置上原本找到的 Keychain 相比,GrayKey 建立的 Keychain 略有不同。在檔案系統中找到的 Keychain 實際上是 SQLite 資料庫,且由於在此之前的擷取限制,此類 Keychain 並非總是可用的。iTunes 備份中的 Keychain 也是 Plist,但是使用的是不同的格式,因此我們已在 AXIOM 中新增對 GrayKey keychain.plist 的特定支援功能。
既然我們已重點介紹調查員透過在其 iOS 調查的擷取階段利用 GrayKey 取得的不同擷取項目,讓我們來深入瞭解一下使用 Magnet AXIOM 分析此資料的方式。
將 GrayKey 證據載入 AXIOM
AXIOM提供多種方式載入您最近擷取的 iOS 裝置。視您的調查需求而定,您可能會發現對您的工作流程而言,某種方法優於其他方法。
首先,除了載入您已擷取的 files.zip 檔案,我會首先推薦經由以下方式載入 keychain.plist:
將 AXIOM 用於分析的主要優勢之一是能夠在開始處理之前,同時新增多項證據,從而為調查員節省時間。儘管如此,處理您有其 keychain.plist 的 iOS 裝置時,調查員最好先僅處理 Keychain 並檢閱這唯一一項證據的資料,再瀏覽至 AXIOM Examine 的案例儀表板並點擊 [新增證據]。您問為什麼?好問題!如果調查員已檢閱 keychain.plist,則他們將清楚地瞭解在可疑裝置上可能會找到的應用程式。然而更值得稱道的是,在他們將 files.zip 載入 AXIOM 以供處理時,他們能為諸如 SnapChat、WickrMe 或 iOS Notes 等已加密應用程式提供潛在密碼和金鑰值,以便在處理時,AXIOM 能解密此類資料庫,以供調查員在其調查過程中予以分析,而無需被迫重新處理證據。我們已經為在處理時我們能解密的應用程式新增跡證選取類別的資訊,以便調查員能在將資訊從 Keychain 複製到 AXIOM 中時予以參考,如下所示。
接下來,讓我們看看將額外的 GrayKey 證據檔案載入 AXIOM 的方式。
若要將 GrayKey 映像載入 AXIOM,您可遵循大多數其他 iOS 映像的相同操作方式:前往 [行動裝置] -> iOS -> [載入證據] -> [映像],然後首先選擇 files.zip。接下來,以相同的方式載入 mem.zip。
需要注意的是,在載入 files.zip 中時,確保您選取 [映像],而非檔案和資料夾。這可讓 AXIOM 從映像中解析/深層挖掘為數最多的資訊。
對於使用線上版 GrayKey 的機構,在將您的擷取項目載入 AXIOM 中時,會有額外的選項。憑藉 Magnet 與 Grayshift 的獨家合作夥伴關係,我們提供直接連線功能,這讓調查員可以經由網路連線將 AXIOM 直接連線至其 GrayKey。此直接連線選項具有多個優勢,超越先從您的 GrayKey 經由瀏覽器下載映像,再使用分析軟體開始處理案例的傳統程序。使用直接連線選項的第一個優勢便是速度;使用此程序可減少全面開始調查所需的步驟,且就您要擷取的 iOS 裝置數量而言,這樣的確能節省更多的時間。其次,AXIOM 還會提示您要在何處儲存 GrayKey 映像,以作為其擷取和處理的項目以供審查。在此過程中,我們還會自動將正在擷取的檔案進行雜湊處理,以便您能從與雜湊值相符的 GrayKey GUI 快速確認。我們曾多次聽到調查員表示,他們將 GrayKey 映像載入分析工具時,情況似乎不對勁,或是無法載入映像。這一定程度上可能是因為瀏覽器限定下載項目的大小,或在下載映像檔案時捨棄了封包。
若要透過直接連線方法載入證據,使用者應前往 [行動裝置] -> iOS -> [連線至 GrayKey]。連線後,調查員可瀏覽 GrayKey 上儲存的可用資料,從而選取他們想要用 AXIOM 擷取和處理的不同證據檔案。
下載後,您可以為指定的調查選擇您想要包含在 AXIOM 中的任何選項和跡證。有一項功能可幫助取得跡證中原本不包含的額外資料,那就是動態應用程式尋找工具 (DAF)。
在 [尋找更多跡證] 下,您可啟用 DAF,它會自動搜尋映像檔中可能包含潛在聊天、地理位置或聯絡人資訊的 SQLite 資料庫。對於現有跡證中找不到的任何應用程式或資料而言,這可能會有幫助。對 GrayKey 映像而言,這會識別檔案系統和記憶體映像中的其他資料。您可在此瞭解有關建立自訂跡證的更多資訊,並詳細瞭解我們的 Artifact Exchange。
載入所有項目並選取選項後,您即可像處理任何其他案例一樣處理該案例,並在 AXIOM Examine 中檢視結果。
想要進一步瞭解您能如何搭配使用 GrayKey 與 AXIOM,以最大限度加強您的 iOS 調查?瞭解我們的 MAGaK (Magnet AXIOM 和 GrayKey) 進階 iOS 審查 (AX301) 課程!