張厚寶

摘要：隨著信息化在全球飛速發(fā)展，智能終端設(shè)備已經(jīng)成了人們?nèi)粘Ｉ罟ぷ髦胁豢苫蛉钡慕M成部分。但是隨之而來(lái)的網(wǎng)絡(luò)犯罪也是逐年攀高。其中，IOS智能終端中的易信App由于界面簡(jiǎn)潔，操作方便，因而具有大量的用戶使用它。因此，針對(duì)該App，提出一種取證分析方法，對(duì)于預(yù)防網(wǎng)絡(luò)犯罪，具有十分重要的理論與現(xiàn)實(shí)意義。

關(guān)鍵詞：手機(jī)取證;易信

中圖分類(lèi)號(hào)：TP393? ? ? 文獻(xiàn)標(biāo)識(shí)碼：A? ? ? 文章編號(hào)：1009-3044（2018）31-0189-04

Forensic Analysis Method of YiXin App in IOS Intelligent Terminal

ZHANG Hou-bao

（The Third Research Institute of Ministry of Public Security， Shanghai 201204， China）

Abstract： With the rapid development of information technology in the world， intelligent terminal equipment has become an indispensable part of peoples daily life. But the cyber crime that comes with it is rising year by year. Among them， the YiXin App in IOS smart terminal has a large number of users because of its simple interface and convenient operation. Therefore， a forensic analysis method is proposed for the App， which is of great theoretical and practical significance for the prevention of cyber crime.

Key words： mobile phone forensics; YiXin App

2004年，蘋(píng)果公司召集了1000多名內(nèi)部員工組成研發(fā)iPhone團(tuán)隊(duì)，開(kāi)始了被列為高度機(jī)密的項(xiàng)目，訂名為“Project Purple”，當(dāng)中包括iPhone的幕后設(shè)計(jì)師Jonathan Ive。當(dāng)時(shí)蘋(píng)果公司的首席執(zhí)行官史蒂夫·喬布斯從原本的重點(diǎn)如iPad的平板電腦偏離至轉(zhuǎn)向手機(jī)。蘋(píng)果公司跟AT&T秘密合作創(chuàng)造了一些硬件和軟件設(shè)備，在30個(gè)月動(dòng)用了約$1.5億美元。作為交換條件，蘋(píng)果公司保證在4年內(nèi)，在美國(guó)出售的iPhone將交由AT&T獨(dú)家發(fā)售。在2007年6月11日的蘋(píng)果公司全球軟件開(kāi)發(fā)者年會(huì)上，時(shí)任蘋(píng)果公司首席執(zhí)行官喬布斯公布iPhone將會(huì)支持第三方應(yīng)用程序Ajax，用以分享iPhone界面的外觀。2007年10月17日，喬布斯在蘋(píng)果公司"熱點(diǎn)新聞"的日志中張貼一封公開(kāi)信，公布于2008年2月將會(huì)提供一個(gè)軟件開(kāi)發(fā)工具包 （SDK）予第三方軟件開(kāi)發(fā)者。當(dāng)開(kāi)發(fā)者把程序提交到應(yīng)用程序商店，蘋(píng)果公司將持有嚴(yán)格控制權(quán)。應(yīng)用程序商店讓用戶瀏覽及下載應(yīng)用程序，根據(jù)不同情況，用戶可免費(fèi)或付款購(gòu)買(mǎi)再下載到iOS設(shè)備中，亦可通過(guò)iTunes下載到電腦。如今，以iPhone為代表的IOS智能終端已經(jīng)擁有了大量用戶。

易信是由網(wǎng)易和中國(guó)電信聯(lián)合開(kāi)發(fā)的一款能夠真正免費(fèi)聊天的即時(shí)通訊軟件，獨(dú)特的免費(fèi)電話、高清聊天語(yǔ)音、免費(fèi)海量貼圖表情及免費(fèi)短信及電話留言等功能，讓溝通更加有趣。易信支持跨通信運(yùn)營(yíng)商、跨手機(jī)操作系統(tǒng)平臺(tái)，可以通過(guò)手機(jī)通訊錄向聯(lián)系人免費(fèi)撥打電話以及發(fā)送免費(fèi)短信，向手機(jī)或固定電話發(fā)送電話留言，同時(shí)，也可以向好友發(fā)送語(yǔ)音、視頻、圖片、表情和文字。此外，還可以通過(guò)“朋友圈”拍照記錄生活，上傳文字、圖片與好友們分享自己的近況。易信支持Wi-Fi、2G、3G和4G數(shù)據(jù)網(wǎng)絡(luò)，目前支持iPhone、Android等手機(jī)系統(tǒng)版本，以及Windows PC平臺(tái)。2015年6月，易信正式上線3.5版本，適配Apple Watch，上線首日App Store社交榜首。2015年7月7日，易信免費(fèi)通話功能強(qiáng)勢(shì)登陸WP平臺(tái)。由于易信的諸多特點(diǎn)，具有廣大的使用群體。

隨著移動(dòng)通信技術(shù)所提供服務(wù)水平和服務(wù)種類(lèi)的不斷提高和擴(kuò)充，手機(jī)已日益成為人們工作生活中不可或缺的聯(lián)系工具，然而與此同時(shí)，利用手機(jī)進(jìn)行詐騙、誹謗和偽造等犯罪活動(dòng)也屢見(jiàn)不鮮。手機(jī)取證正是打擊這類(lèi)犯罪的一個(gè)有效手段。從概念上講，手機(jī)取證就是從手機(jī)SIM卡、手機(jī)內(nèi)/外置存儲(chǔ)卡以及移動(dòng)網(wǎng)絡(luò)運(yùn)營(yíng)商數(shù)據(jù)庫(kù)中收集、保全和分析相關(guān)的電子證據(jù)，并最終從中獲得具有法律效力、能被法庭所接受的證據(jù)的過(guò)程。因此，在IOS智能終端中針對(duì)易信提出一種有效的取證分析方法，具有很重要的意義。

1 手機(jī)取證基本流程

手機(jī)取證一般分為以下六個(gè)流程：準(zhǔn)備階段、現(xiàn)場(chǎng)勘查、證據(jù)獲取、證據(jù)固定、數(shù)據(jù)分析、生成報(bào)告。具體如圖1所示。

1）準(zhǔn)備階段：即調(diào)查機(jī)構(gòu)在受理案件時(shí)充分收集案件現(xiàn)場(chǎng)詳情，全面了解可能與案件相關(guān)的電子證據(jù)材料，并且根據(jù)掌握的現(xiàn)場(chǎng)電子證據(jù)相關(guān)情況以及可能存在的電子證據(jù)進(jìn)行證據(jù)固定或現(xiàn)場(chǎng)數(shù)據(jù)提取工作制訂方案，準(zhǔn)備可能用到的電子取證設(shè)備。

2）現(xiàn)場(chǎng)勘查：是電子取證最重要的一步，未按嚴(yán)格的流程而取得的證據(jù)很難具有法律效應(yīng)。取證人員在進(jìn)入現(xiàn)場(chǎng)后，應(yīng)迅速封鎖現(xiàn)場(chǎng)，隔離人、機(jī)、物品，保護(hù)電子證據(jù)物品譬如存儲(chǔ)卡、手機(jī)等電子設(shè)備。

3）證據(jù)獲?。弘娮幼C據(jù)非常脆弱，很容易遭到破壞，因此，在收集的過(guò)程中，應(yīng)當(dāng)由專(zhuān)業(yè)的取證人員或請(qǐng)電子取證鑒定機(jī)構(gòu)或公司的專(zhuān)業(yè)人員進(jìn)行收集或提供專(zhuān)業(yè)咨詢(xún)，保證電子設(shè)備儲(chǔ)存的內(nèi)容不被破壞。對(duì)于易信取證而言，主要是獲取IOS智能終端中涉及易信的相關(guān)數(shù)據(jù)。

4）證據(jù)固定：在收集證據(jù)的過(guò)程中以及取證完成后，取證人員應(yīng)當(dāng)及時(shí)記錄涉及到的每一個(gè)設(shè)備的基本信息、收集的時(shí)間、地點(diǎn)、數(shù)據(jù)來(lái)源、提取的過(guò)程、使用的方法、操作人以及見(jiàn)證人并簽字。

5）數(shù)據(jù)分析：在完成上述步驟后，取證人員會(huì)根據(jù)案件的訴求進(jìn)行數(shù)據(jù)分析，以找到關(guān)鍵的證據(jù)或線索。對(duì)于易信取證而言，主要是分析易信App的賬號(hào)信息、好友和群基本信息以及聊天信息等。

6）生成報(bào)告：取證人員在取證完成后，需要對(duì)整個(gè)取證分析過(guò)程生成一個(gè)完整的報(bào)告。報(bào)告中所記錄事項(xiàng)的原則包括合法性、可采性，結(jié)論有完整的證據(jù)鏈可進(jìn)行印證。

2 易信文件系統(tǒng)分析

使用“取證先鋒--綜合手機(jī)取證軟件”取證iPhone手機(jī)的文件系統(tǒng)，經(jīng)分析，在文件系統(tǒng)中/private/var/mobile/Containers/Data/Application/87E18742-71AB-4112-8366-56A81EEDDF89目錄即為易信App數(shù)據(jù)存放的目錄，如圖2所示。

對(duì)于該目錄下的各級(jí)文件進(jìn)行分析可知，在/Documents/115908711目錄下存在core_user_v1.dat和msg2.db兩個(gè)對(duì)于易信取證而言有效的文件。

對(duì)于core_user_v1.dat文件進(jìn)行分析可知，該文件存儲(chǔ)有易信的主賬號(hào)、群賬號(hào)昵稱(chēng)等信息;對(duì)于msg2.db文件進(jìn)行分析可知，該文件存儲(chǔ)有易信的好友賬號(hào)、聊天消息等信息。

3 易信數(shù)據(jù)取證分析

3.1 主賬號(hào)及昵稱(chēng)取證

3.1.1 主賬號(hào)取證

經(jīng)過(guò)對(duì)易信文件系統(tǒng)的分析可知，找到/Documents目錄下純數(shù)字的文件夾，比對(duì)該文件夾名稱(chēng)和易信App的主賬號(hào)可知，該文件夾的名稱(chēng)即為主賬號(hào)。

3.1.2 主賬號(hào)的昵稱(chēng)取證

該信息均存儲(chǔ)在core_user_v1.dat文件中。Winhex打開(kāi)該文件后，utf-8編碼。在其中搜索主賬號(hào)昵稱(chēng)“歐氏愛(ài)粉六”，找到信息如圖3所示。

分析該段數(shù)據(jù)，發(fā)現(xiàn)如下規(guī)律：

1） 該段數(shù)據(jù)以主賬號(hào)的賬號(hào)（115908711）數(shù)據(jù)（MainAccountData）開(kāi)始。

2） 該段數(shù)據(jù)中存在唯一的一段數(shù)據(jù)（UniqueData），如下圖有顏色區(qū)域所示。

該段數(shù)據(jù)由黃色區(qū)域數(shù)據(jù)+紅色區(qū)域數(shù)據(jù)+藍(lán)色區(qū)域數(shù)據(jù)+綠色區(qū)域數(shù)據(jù)組成。其中紅色區(qū)域數(shù)據(jù)代表主賬號(hào)對(duì)應(yīng)十六進(jìn)制數(shù)據(jù)的總長(zhǎng)度，綠色區(qū)域數(shù)據(jù)代表主賬號(hào)對(duì)應(yīng)十六進(jìn)制數(shù)據(jù)。

3） 主賬號(hào)昵稱(chēng)“歐氏愛(ài)粉六”前面存在一串規(guī)律數(shù)據(jù)（NickNameUniqueData，經(jīng)驗(yàn)證，主賬號(hào)和好友賬號(hào)均存在如下規(guī)律），如下圖有顏色區(qū)域所示。

該段數(shù)據(jù)由黃色區(qū)域數(shù)據(jù)+紅色區(qū)域數(shù)據(jù)+綠色區(qū)域數(shù)據(jù)組成。其中紅色區(qū)域數(shù)據(jù)代表主賬號(hào)昵稱(chēng)對(duì)應(yīng)十六進(jìn)制數(shù)據(jù)的總長(zhǎng)度。

對(duì)以上規(guī)律分析可知，易信主賬號(hào)昵稱(chēng)的取證步驟為：

1） 根據(jù)規(guī)律1可知，先讀取整個(gè)dat文件數(shù)據(jù)，在其中查找主賬號(hào)對(duì)應(yīng)十六進(jìn)制數(shù)據(jù)的位置。

2） 根據(jù)規(guī)律2可知，從該位置后，讀取和UniqueData等長(zhǎng)的數(shù)據(jù)TestUniqueData。若TestUniqueData等于UniqueData，則進(jìn)入步驟三，否則在剩下來(lái)的數(shù)據(jù)中循環(huán)尋找該段數(shù)據(jù)，直到找到該段數(shù)據(jù)為止。

3） 根據(jù)規(guī)律3可知，從該位置以后的數(shù)據(jù)中匹配N(xiāo)ickNameUniqueData，從而解析出主賬號(hào)昵稱(chēng)。

3.2 群取證

3.2.1 群賬號(hào)取證

群賬號(hào)信息在msg2.db文件的msglog數(shù)據(jù)庫(kù)表中。使用sql語(yǔ)句select * from msglog where msg_type='2' group by id即可取證出各群的群賬號(hào)。

3.2.2 群昵稱(chēng)取證

該信息均存儲(chǔ)在core_user_v1.dat文件中。Winhex打開(kāi)該文件后，utf-8編碼。在其中搜索各群的群賬號(hào)和昵稱(chēng)，找到信息如圖6所示。

經(jīng)分析，群信息以校驗(yàn)位tinfo（其對(duì)應(yīng)十六進(jìn)制編碼為0x74， 0x69， 0x6E， 0x66， 0x6F）開(kāi)始，每個(gè)群的信息如圖7所示。

分析該段數(shù)據(jù)，發(fā)現(xiàn)規(guī)律為：該段數(shù)據(jù)由黃色區(qū)域數(shù)據(jù)（GroupUniqueData）+紅色區(qū)域數(shù)據(jù)+藍(lán)色區(qū)域數(shù)據(jù)+綠色區(qū)域數(shù)據(jù)+灰色區(qū)域數(shù)據(jù)組成。其中黃色區(qū)域數(shù)據(jù)（GroupUniqueData）代表群號(hào)+1200000001000000 +群號(hào)長(zhǎng)度+00+群號(hào)，藍(lán)色區(qū)域數(shù)據(jù)代表群昵稱(chēng)長(zhǎng)度，灰色區(qū)域代表群昵稱(chēng)。

根據(jù)以上規(guī)律可知，群昵稱(chēng)取證的步驟為：

1） 找到tinfo所在的位置。

2） 在該位置以后讀取一定數(shù)據(jù)，在其中尋找GroupUniqueData數(shù)據(jù)的位置。

3） 找到GroupUniqueData數(shù)據(jù)的位置后，根據(jù)以上規(guī)律解析出群昵稱(chēng)。

3.2.3 群成員賬號(hào)取證

該信息均存儲(chǔ)在core_user_v1.dat文件中。Winhex打開(kāi)該文件后，utf-8編碼。在其中搜索各群的群成員賬號(hào)，找到信息如圖8所示。

經(jīng)分析，群成員賬號(hào)以校驗(yàn)位tlist（其對(duì)應(yīng)的十六進(jìn)制編碼為0x74， 0x6C， 0x69， 0x73， 0x74）開(kāi)始。其中，每個(gè)群成員賬號(hào)的信息如圖9所示。

分析該段數(shù)據(jù)，發(fā)現(xiàn)規(guī)律為：該段數(shù)據(jù)由黃色區(qū)域數(shù)據(jù)（GroupMemberUniqueData）+紅色區(qū)域數(shù)據(jù)+綠色區(qū)域數(shù)據(jù)+灰色區(qū)域數(shù)據(jù)組成。其中黃色區(qū)域數(shù)據(jù)（GroupMemberUniqueData）代表0E000000+01000000+群號(hào)長(zhǎng)度+00+群號(hào)+02000000，紅色區(qū)域數(shù)據(jù)代表群成員賬號(hào)長(zhǎng)度，灰色區(qū)域數(shù)據(jù)代表群成員賬號(hào)。

根據(jù)以上規(guī)律可知，群成員賬號(hào)取證的步驟為：

1） 找到tlist所在的位置。

2） 在該位置以后讀取一定數(shù)據(jù)，在其中尋找GroupMemberUniqueData數(shù)據(jù)的位置。

3） 找到GroupMemberUniqueData數(shù)據(jù)的位置后，根據(jù)以上規(guī)律解析出群成員賬號(hào)。

3.2.4 群成員昵稱(chēng)取證

該信息均存儲(chǔ)在core_user_v1.dat文件中。Winhex打開(kāi)該文件后，utf-8編碼。在其中搜索各群的群成員昵稱(chēng)，找到相關(guān)信息，并分析發(fā)現(xiàn)，其取證規(guī)律與主賬號(hào)昵稱(chēng)取證規(guī)律一致。因此，群成員昵稱(chēng)取證流程可以復(fù)用主賬號(hào)昵稱(chēng)取證的流程。

3.3 好友取證

經(jīng)分析，好友賬號(hào)信息存儲(chǔ)在msg2.db文件的msglog數(shù)據(jù)庫(kù)表中。該表中id不等于群賬號(hào)的id為好友賬號(hào)。而好友的昵稱(chēng)信息均存儲(chǔ)在core_user_v1.dat文件中。Winhex打開(kāi)該文件后，utf-8編碼。在其中搜索好友的昵稱(chēng)，找到相關(guān)信息，并分析發(fā)現(xiàn)，其取證規(guī)律與主賬號(hào)昵稱(chēng)取證規(guī)律一致。因此，好友昵稱(chēng)取證流程可以復(fù)用主賬號(hào)昵稱(chēng)取證的流程。

3.4 聊天消息取證

經(jīng)分析，所有的好友聊天和群聊天消息均存儲(chǔ)在msg2.db文件的msglog數(shù)據(jù)庫(kù)表中。

聊天消息類(lèi)型通過(guò)msglog數(shù)據(jù)庫(kù)表的msg_content_type字段來(lái)區(qū)別，具體如表1所示。

聊天消息發(fā)送者的賬號(hào)信息可以通過(guò)msglog數(shù)據(jù)庫(kù)表的msg_from_id字段來(lái)確定。

4 結(jié)束語(yǔ)

現(xiàn)如今，以iPhone為代表的IOS智能終端已經(jīng)擁有了大量用戶。且IOS智能終端內(nèi)擁有大量開(kāi)發(fā)者開(kāi)發(fā)的第三方應(yīng)用程序。其中易信是由網(wǎng)易和中國(guó)電信聯(lián)合開(kāi)發(fā)的一款能夠真正免費(fèi)聊天的即時(shí)通訊軟件，獨(dú)特的免費(fèi)電話、高清聊天語(yǔ)音、免費(fèi)海量貼圖表情及免費(fèi)短信及電話留言等功能，讓溝通更加有趣。由于易信的諸多特點(diǎn)，具有廣大的使用群體。因此在IOS智能終端中針對(duì)易信提出一種有效的取證分析方法，具有很重要的意義。

該文通過(guò)對(duì)易信文件系統(tǒng)的分析，提取出其中有效的取證文件，并通過(guò)對(duì)其二進(jìn)制格式或數(shù)據(jù)庫(kù)表進(jìn)行分析，找出了易信主賬號(hào)、群、好友和聊天消息數(shù)據(jù)存儲(chǔ)的規(guī)律，進(jìn)而實(shí)現(xiàn)了易信取證的方法步驟。并且由于IOS智能終端中的其他App的數(shù)據(jù)存儲(chǔ)格式很多也是數(shù)據(jù)庫(kù)表或者二進(jìn)制文件格式，因此該文針對(duì)易信取證分析的方法對(duì)于其他App的取證也是具有借鑒的作用與意義的。

參考文獻(xiàn)：

[1] Wang X Q. How to discover the truth in data[J]. China Information Security， 2009（11）： 23-24.

[2] Neal L. Bringing big analytics to the masses[J]. Computer， 2013， 46（1）： 20-23.

[3] King C， Vidas T. Empirical analysis of solid state disk data retention when used with contemporary operating systems[J]. Digital Investigation， 2011（8）： 111-117.