馬洪濤，陳 英

(1.杭州市公安局 刑偵支隊, 杭州 310004; 2.浙江科技學(xué)院 信息中心,杭州 310023)

?

iOS9平臺下的iTunes備份文件技術(shù)研究

馬洪濤1，陳 英2

(1.杭州市公安局 刑偵支隊, 杭州 310004; 2.浙江科技學(xué)院 信息中心,杭州 310023)

公安機關(guān)在對iOS設(shè)備進行分析取證時，為保護電子證據(jù)的完整性、真實性和原始性，通常對iTunes備份文件進行分析取證。為此，針對如何解析iTunes備份文件進行了詳細的技術(shù)研究，分析了備份文件的結(jié)構(gòu)和索引文件Manifest.mbdb中目錄項結(jié)構(gòu)，進而提出解析iTunes備份文件的技術(shù)方法，并且在此基礎(chǔ)上開發(fā)了一款軟件程序并實現(xiàn)了對iTunes備份文件的數(shù)據(jù)還原。

電子數(shù)據(jù)取證；iTunes備份文件；Manifest.mbdb

隨著電子信息和移動互聯(lián)網(wǎng)技術(shù)的蓬勃發(fā)展，手機基本成為人人必備的信息交流終端，依托手機和移動互聯(lián)網(wǎng)，網(wǎng)絡(luò)社會與實體社會高度融合，手機設(shè)備記錄了大量有形、無形的有價值的信息。近年來的工作實踐表明，對涉案手機的電子數(shù)據(jù)取證能為偵查破案和指控犯罪提供司法依據(jù)，是一種很有效的技術(shù)手段。為保護電子證據(jù)完整性、真實性和原始性的取證規(guī)范，公安機關(guān)在對iOS設(shè)備進行分析取證時，通常使用iTunes軟件進行備份或第三方取證軟件直接調(diào)用iTunes軟件中的AppleMobileBackup.exe進行備份，再對備份文件進行分析取證[1-2]。當(dāng)前，網(wǎng)絡(luò)上公開的iTunes備份技術(shù)研究主要是基于iOS4版本，同時,蘋果公司一直不公開iTunes備份的相關(guān)工作機制，因此，對于iOS9及以上版本的iTunes備份文件的技術(shù)研究就顯得尤為重要。本研究將深入研究如何在新的iOS軟件版本下解析iTunes備份文件，獲取iOS設(shè)備中存儲的文件路徑和數(shù)據(jù)文件。

1 iTunes備份文件概述

iTunes軟件是由蘋果公司官方發(fā)布的在MAC和PC使用的免費應(yīng)用程序，它除了能播放數(shù)字音樂和視頻外，還提供對iPhone、iPad等iOS設(shè)備進行數(shù)據(jù)備份,以及下載安裝App應(yīng)用等設(shè)備管理功能。從電子數(shù)據(jù)取證的角度來講，iTunes數(shù)據(jù)備份幾乎包含所有的設(shè)備信息和用戶數(shù)據(jù)，包括系統(tǒng)自帶的App數(shù)據(jù)和用戶下載的App數(shù)據(jù)，并且獲取iTunes 備份相對簡單，通過解析iTunes數(shù)據(jù)備份文件就可以獲取相關(guān)的電子數(shù)據(jù)。iTunes備份的存儲文件路徑由于操作系統(tǒng)的差異而不同，表1列出了iTunes v12版本下常見操作系統(tǒng)中備份文件的默認存儲路徑，并且iTunes也支持用戶手動修改默認存儲路徑。當(dāng)然，用戶也可以對數(shù)據(jù)備份文件進行加密，對備份進行加密后，從加密備份文件恢復(fù)數(shù)據(jù)時需要輸入密碼。本研究主要討論未進行加密的數(shù)據(jù)備份文件的相關(guān)問題。

表1 iTunes數(shù)據(jù)備份文件存儲路徑

備份文件結(jié)構(gòu)：打開該iTunes數(shù)據(jù)備份文件夾會發(fā)現(xiàn)大量文件名為40位16進制字符長度且沒有文件屬性的數(shù)據(jù)文件和Info.plist、Manifest.plist、Status.plist、Manifest.mbdb[3]文件。如圖1所示，文件名為40位16進制字符的文件是設(shè)備中存儲的數(shù)據(jù)文件,而這些文件名都是通過一定的規(guī)則進行哈希編碼運算得到的。3個后綴為plist的文件，可以用plistEditor軟件打開瀏覽，通過分析發(fā)現(xiàn)，其中Info.plist文件記錄了設(shè)備名稱、版本、IMEI、ICCID、GUID等在內(nèi)的一些手機硬件信息；Status.Plist文件記錄了設(shè)備備份時間、UUID及備份狀態(tài)等信息；Manifest.plist文件保存了iOS設(shè)備已安裝的App信息，包括App的名稱、版本、程序和數(shù)據(jù)文件路徑[3]；Mainfest.mbdb是二進制文件，保存了所有備份文件的文件名、路徑、所屬域等信息，也是研究如何解析iTunes備份文件的技術(shù)核心。

圖1 iTunes數(shù)據(jù)備份文件截圖Fig.1 Screenshots of Backup files of iTunes data

2 備份索引文件Manifest.mbdb詳解

使用二進制工具WinHex打開iOS 9 平臺下的備份索引文件Manifest.mbdb，如圖2所示，可以發(fā)現(xiàn)文件的前6個字節(jié)是固定的，其中把前4個字節(jié)按char類型處理ASCII碼顯示為字符“mbdb”，相當(dāng)于文件的一種標(biāo)識。

圖2 Manifest.mbdb在WinHex中截圖Fig.2 Screenshots of Manifest.mbdb in WinHex

后面的內(nèi)容是一個接著一個的目錄項，目錄項內(nèi)保存了備份域和備份路徑等重要信息。整個Manifest.mbdb文件結(jié)構(gòu)是：文件頭+目錄項1+目錄項2+目錄項3+…+目錄項N。其中目錄項的組成結(jié)構(gòu)是我們研究的重點，也是解析備份索引文件的關(guān)鍵。目錄項的組成結(jié)構(gòu)和數(shù)據(jù)類型[4]如下：

1)備份域,數(shù)據(jù)類型為字符串，前2個字節(jié)表示備份域的字符長度，后面為具體的內(nèi)容。

2)備份路徑,數(shù)據(jù)類型為字符串，前2個字節(jié)表示備份路徑的字符長度，后面為具體的內(nèi)容。

3)鏈接目標(biāo),數(shù)據(jù)類型為字符串，前2個字節(jié)表示鏈接目標(biāo)的字符長度，后面為具體的內(nèi)容。

4)文件哈希,數(shù)據(jù)類型為字符串，前2個字節(jié)表示數(shù)據(jù)hash的字符長度，后面為具體的內(nèi)容。

5)保留密鑰,前2個字節(jié)表示字符長度，對于未加密的備份文件該項內(nèi)容為空。

6)定長屬性,基本屬性39個字節(jié)，最后一個字節(jié)代表附加屬性的個數(shù)；其中基本屬性包含了文件的創(chuàng)建時間、最后修改時間、最后訪問時間及文件類型等基本信息；每一個附加屬性都有一對屬性鍵、屬性值，屬性鍵和屬性值的頭2個字節(jié)都表示長度，后面為具體的內(nèi)容。

通過解析Manifest.mbdb文件,獲取每個目錄項中備份域和備份路徑,對解析出數(shù)據(jù)文件特別重要,其中40位16進制字符的數(shù)據(jù)文件的文件名就是通過取備份域和備份路徑的SHA1哈希值計算出來的,計算公式為：哈希值文件名 = SHA1(備份域 +“-”+ 備份路徑)[5]。

3 解析iTunes備份文件

由于本研究主要討論公安機關(guān)對iOS設(shè)備進行分析取證時針對iTunes備份文件的技術(shù)研究，不涉及備份文件加密和解密問題，故在解析iTunes備份文件時，按未加密備份文件處理。第一步，按照圖3的方法解析出所有的哈希值和數(shù)據(jù)文件完整路徑的對應(yīng)關(guān)系，可以構(gòu)成一個通過hash值查找完整路徑的數(shù)據(jù)字典。

第二步，對備份文件夾中的每一個以哈希值命名的數(shù)據(jù)文件，通過數(shù)據(jù)字典查找該文件名哈希值對應(yīng)的完整路徑，再將以哈希值命名的文件重命名為正確的文件名和后綴格式，并移動到正確的路徑位置(需創(chuàng)建相應(yīng)的文件夾)后，就可以恢復(fù)iOS設(shè)備中的文件結(jié)構(gòu)和數(shù)據(jù)文件，iTunes備份就得到了解析還原。

圖3 解析iTunes數(shù)據(jù)備份文件流程Fig.3 Analysis of flow of iTunes data backup files

4 iTunes數(shù)據(jù)備份文件解析的實例分析

針對 iTunes數(shù)據(jù)備份文件的解析，結(jié)合前面論述的內(nèi)容，根據(jù)解析流程，使用QT5開發(fā)了針對iOS9平臺下備份文件的解析軟件工具，生成備份文件的數(shù)據(jù)字典和導(dǎo)出數(shù)據(jù)文件，主要功能性測試步驟如下。

4.1 獲取設(shè)備的iTunes數(shù)據(jù)備份文件

將測試的iPhone SE(ios v9.3)設(shè)備連接電腦進行數(shù)據(jù)備份，并將備份文件存儲在本地電腦上(默認對備份不加密)，備份結(jié)果如圖4所示。

4.2 運行解析軟件提取Manifest.mbdb中目錄項的數(shù)據(jù)字典

運行解析備份軟件(基于QT5框架開發(fā))，得到Manifest.mbdb的解析日志文件Manifest_log.txt和數(shù)據(jù)字典文件Manifest_zd.csv，如圖5所示。

圖4 iTunes備份文件截圖Fig.4 Screenshots of backup files of iTunes

圖5 iTunes備份文件數(shù)據(jù)字典和解析日志Fig.5 Data dictionary and parsing logs of backup files

4.3 設(shè)定輸出文件夾恢復(fù)iTunes備份數(shù)據(jù)文件

運行解析備份軟件，程序通過查詢字典文件Manifest_zd.csv，將40位16進制字符的數(shù)據(jù)文件恢復(fù)為初始文件名和文件格式，并存放在對應(yīng)的文件路徑中，如圖6所示。

圖6 恢復(fù)出備份文件的結(jié)果截圖Fig.6 Screenshots of results of recovered backup files

5 結(jié) 語

本文主要介紹了公安機關(guān)在對iOS設(shè)備進行分析取證時，針對iOS9平臺下的iTunes備份文件解析的技術(shù)研究，包括對備份文件的文件組成結(jié)構(gòu)和其中重要的索引文件Manifest.mbdb中目錄項構(gòu)成進行了深入研究，并在此基礎(chǔ)上提出了針對iOS9平臺的解析iTunes備份文件的技術(shù)方法。利用QT5開發(fā)了一款適配解析iOS9 備份的軟件測試程序，在iTunes v12環(huán)境下對運行iOS9.3的iPhone手機備份進行功能性測試，成功導(dǎo)出數(shù)字字典且恢復(fù)了手機內(nèi)存儲的數(shù)據(jù)文件，測試結(jié)果驗證了該項技術(shù)的研究成果。此項研究為提取運行iOS9版本的iPhone手機電子數(shù)據(jù)提供了軟件解決方法，可有效幫助公安部門克服在對iOS設(shè)備進行電子數(shù)據(jù)取證時過分依賴于專業(yè)廠商提供的專業(yè)手機取證硬件設(shè)備的問題。

[1] 金波,楊濤，吳松洋，等.電子數(shù)據(jù)取證與鑒定發(fā)展概述[J].中國司法鑒定,2016(1):68.

[2] 彭建新,周元建.iOS設(shè)備取證技術(shù)研究[J].中國人民公安大學(xué)學(xué)報(自然科學(xué)版),2012(4):38.

[3] BADER M, BAGGILI I. iPhone 3GS forensics:logical analysis using apple iTunes backup utility[J]. Small Scale Digital Device Forensics Journal,2010,4(1):7.

[4] The iPhone Wiki. iTunes Backup[EB/OL].(2016-09-26)[2016-09-10].https:∥www.theiphonewiki.com/wiki/ITunes_Backup#Record_.28variable_size.

[5] 陳佳霖.iOS平臺應(yīng)用程序安全性研究[D].上海：上海交通大學(xué),2014:37.

Technological research on iTunes backup file of iOS9

MA Hongtao1,CHEN Ying2

(1.Criminal Investigation Detachment，Hangzhou Municipal Public Security Bureau, Hangzhou 310004, China； 2.Network Information Center， Zhejiang University of Science and Technology, Hangzhou 310023, China)

While analyzing forensics of iOS equipment, public security organs always analyze forensics of iTunes backup files to protect integrity, authenticity and primitiveness of electronic evidences. We made detailed technical research about how to analyze iTunes backup files, analyzed structure of backup files and structure of catalogue in index file Manifest.mbdb, and proposed technical method to analyze iTunes backup file. Based on the above, we developed software and realized data recovery of iTunes backup files.

digital forensics; iTunes backup files; manifest.mbdb

10.3969/j.issn.1671-8798.2016.05.006

2016-09-13

馬洪濤(1981— )，男，浙江省杭州人，工程師，碩士，主要從事移動通訊設(shè)備電子數(shù)據(jù)取證研究。

TP309.3; D918.2

A

1671-8798(2016)05-0367-06