通常,在手機取證過程中,軟體允許對手機獲取數據的權限越多,獲取到的手機數據就會更加完整全面。本文主要從美亞柏科手機取證系列產品如:FL-900手機取證塔,DC-4501手機取證系統等產品對iPhone越獄和未越獄手機的數據獲取情況,進行對比分析。
(一)iPhone越獄手機能獲取到什麼數據
手機信息:
手機基本信息:本機號碼、設備名稱、作業系統、系統版本、手機品牌、手機型號、I MEI/IMEID、IMSI、激活狀態、設備ID、藍牙MAC地址、Wi-Fi MAC地址、越獄情況、時區;
通訊錄、已刪除通訊錄、簡訊、已刪除簡訊、通訊記錄、已刪除通話記錄、快速撥號、彩信、用戶字典(用戶詞庫);
記事本、已刪除記事本、日曆、已刪除日曆;
密碼管理(獲取通用密鑰);
WI-FI信息、藍牙信息;
位置信息:指南針校準數據、圖片位置信息、視頻位置信息、應用程式地理位置信息;
媒體文件:圖片、音頻、視頻;
程序列表包含版本、安裝/更新日期等;
同步帳號(iCloud帳號);
系統日誌:使用過的號碼、應用程式使用記錄、連接過的主機列表;
用戶文件、系統文件。
即時通訊(已支持40種應用):
微信、微信分身版、QQ、QQ輕聊版、陌陌、快牙、Telegram(電報)、釘釘、Talkbox、點點蟲、YY語音、Voxer、DIDI(嘀嘀電話)、Whatsapp、米聊、旺信、飛信、LINE、遇見、易信、Viber、微話、Zello、CoCo voice、ooVoo、Peeem、Hellotalk、Tango、keechat、zalo、pal+(原cubi message)、有信、來電通、千牛、百度雲、百度Hi、ICQ、Beetalk(蜜語)、全民K歌、Kik、Skype。
備註:微信、QQ、旺信、海豚瀏覽器支持已刪除數據恢復;BBM(資料庫被加密了正在逆向分析其解密方式)
郵件客戶端(已支持6種應用):
自帶郵件、QQ郵箱客戶端、Safari網頁郵件、139郵箱、網易郵箱大師、Gmail郵箱
電子商務:(已支持4種應用):
京東、天貓、淘寶、支付寶
行程記錄:(已支持5種應用):
航旅縱橫、滴滴出行、快的打車、去哪兒網、攜程網
社交網絡:(已支持5種應用):
新浪微博、騰訊微博、人人網、FaceBook、Twitter
手機安全:(已支持2種應用):
360手機衛士、360隱私保險箱
上網記錄:
自帶瀏覽器、UC瀏覽器、QQ瀏覽器、歐朋瀏覽器、百度瀏覽器、Chrome、海豚瀏覽器、傲遊雲瀏覽器、天天瀏覽器
地圖導航:
自帶地圖、高德地圖、百度地圖、谷歌地圖
(二)iPhone未越獄手機相比越獄手機少獲取到什麼數據
自帶郵箱:只能支持極少信息的獲取;
自帶瀏覽器:只能獲取到書籤和當前打開的頁面;
Keychain:暫不支持,無法獲取相關密鑰;後續可以通過工具的方式支持;
位置信息:基站信息,GPS,應用程式位置信息均獲取不到;
系統使用日誌:同步的主機列表獲取不到;iOS 8.3及以上未越獄部分應用暫不支持獲取;
Telegram(電報)、YY語音、Whatsapp、旺信、LINE、易信、Viber、zalo、千牛、百度Hi、Beetalk(蜜語);
陌陌:未越獄不支持備份獲取附件數據;
備註:未修改iTunes備份密碼,則可以獲取大部分數據;如果修改了備份密碼,則大部分數據都無法獲取。