最近鬧的轟轟烈烈的 小模命案 ,由於粱姓女孩第一時間無法提出不在場證明,並且手機的基地台連線記錄.在命案現場.因此被收押二天.後來提出在家不在場證明才得以獲釋.
如果警調單位能第一時間對iphone手機做深度數位鑑識.
或許就會容易因為比對不合.就沒有這樣容易收押了.
但是ios 就算有密碼, 在後期高安全性下.沒有JB 是分析不了什麼數據的.
以下為舊版ios 文件系統
照片
/private/var/mobile/Media/DCIM/100APPLE/
錄影檔(mov)
/private/var/mobile/Media/DCIM/100APPLE/
錄音檔(m4a)
/private/var/mobile/Media/Recordings/
簡訊(db)
/private/var/mobile/Library/SMS/sms.db
電子郵件
/private/var/mobile/Library/Mail/
/private/var/mobile/Library/Preferences/com.apple.accountsettings.plist
通話紀錄
/private/var/wireless/Library/CallHistory/call_history.db
聯絡人
/private/var/mobile/Library/AddressBook/AddressBook.sqlitedb (電話)
/private/var/mobile/Library/AddressBook/AddressBookImages.sqlitedb (大頭貼)
備忘錄
/private/var/mobile/Library/Notes/
https://www.elcomsoft.com/eift.html
並且在ios 8 後 ,sqlite 本身都做了加密.
所以除了jb,還要有passcode 才有辦法作更深度的分析
不管是數位鑑識或是資料恢復.不可能可以解決所有問題
一定有些技術環境狀況下限制但書.
再來就是成本與時間.
回歸回來都是是否能按部就班 判定狀況.解決或是放棄結案
有興趣的人可以參考這篇 關於行動裝置數位鑑識與恢復的演講
http://www.osslab.com.tw/archives/4370
#梁絲繐
Search