有没有想过一个问题，适用于移动设施的取证方式能够照放到台式计算机上？

关于移动取证，我们终于讲了好多了，且最新的进展是专家们正在探讨智能电脑原本是否可以访问云数据。然而，将搜索扩展到客户的台式机和笔记本电脑也许还有助于访问内存在物理智能相机和云中的数据。在这篇文章中，我们将列举所有无法为智能手机数据提供信息的相关取证方式，并且这种办法适用于苹果iOS设备或者运行Android的智能手机。

台式机和笔记本电脑上的相关取证方式

由于其容量很大，计算机也许存储了比智能相机更多的证据。然而，与我们希望从现代智能手机中获取的具有时间戳和地理标记的使用数据相比，台式计算机中的数据将是一种不同与智能手机的证据。

用户的PC或Mac如何帮助移动取证专家?有几种类型的证据可以帮助我们从电脑或云端检索数据。

1. iTunes备份，虽然这类证据是iphone特有的甚至更准确地说，是苹果特有的，但是在用户的计算机上看到的本地备份可以作为特别宝贵的证据来源。

2. 保存的密码，通过实时提取传输在用户的Web浏览器(Chrome、Edge、IE或Safari)中的密码，可以建立一个用于破解加密的自定义字典。更重要的是，可以使用传输的凭证登录客户的iCloud或谷歌账户并执行云提取。

3. 电子邮件帐户，电子邮件帐户可用于重置用户的Apple或微软账户的密钥（使用新凭据进行后续云提取）。

4. 身份验证令牌，这些可以用来访问客户iCloud帐户中的同步数据(令牌应该在用户的计算机上使用，在macOS上，可以提取可转移的不受限制的令牌)。另外，还有Google云端硬盘的令牌（可用于访问客户的Google云端硬盘帐户中的文件）和Google帐户（可用于从用户的Google帐户中提取少量数据）。计算机本来只是取证的来源，因为这些身份验证令牌“固定”在特定的硬件上，不能转移到其它设备上。如果计算机是“受认同的”设备，则可以使用它来避开双原因身份验证。

iTunes备份

iPhone用户可以选择在Windows电脑上安装iTunes或者在Mac电脑上使用所述软件的内嵌版本。除此之外，iTunes还可以拿来对iPhone进行定期或自动的本地备份。这些备份可以说是移动取证专家从客户电脑中搜集的证据中最宝贵的部分。

与Android的剥离式ADB备份相比，Apple的iPhone拥有更好的本地备份系统，Apple在关于《iOS设备的备份》一文中对本地备份进行了全面的记录。

据苹果公司称：“iTunes备份几乎包含你设施的所有数据和修改”，另外按照我们的一贯经验，本地备份几乎涵盖恢复现有iPhone或调试新设施所需的所有内容。将文件和修改存储到另一台设备既便捷又简洁，用户使用更换设施的感受与使用旧iPhone不会有太大的不同，甚至密码（iOS Keychain）也保存在本地备份中。

加密备份与未加密备份

用户可以选用使用密码保护本地备份，受密码保护的备份是安全加密的。为了破译这种备份，需要破解或修复密码，密码恢复防御很慢，在顶级GPU上每秒只有100-150次尝试。

加密的iTunes备份和未加密的iTunes备份有多大的差别，在某些程度上，对于学者来说，受密码保护的备份比没有受密码的备份更有价值。关于备份加密，苹果公司的表述如下:

“iTunes的加密备份用途可以锁定和编码你的信息，另外加密的iTunes备份可以包含未加密的iTunes备份不包含的信息，比如你保存的密码、无线网路设置、网站历史、健康数据”

我们只能从加密备份中提取保存的密钥(iOS钥匙串)，未加密的iTunes备份并且包括钥匙串。然而，不受保护备份中的钥匙串的内容是使用特定于设备的安全加密密钥进行加密，允许你在从中捕获备份的同一设备上解读内容。

从ios11开始，iTunes备份密钥可以重置，要做到这一点，你应该一台iPhone和登录它的密码。从ios13开始，你应该使用密码在iTunes或iOS Forensic Toolkit中指定备份密码。

不过要切记的是，有些数据永远不会存储在本地备份中。

iTunes备份不比如:

1. 来自iTunes和应用程序商店的内容，或直接下载到Apple Books的PDF文件；

2. 从iTunes同步的内容，如导入的MP3或CD、视频、书籍和图片；

3. 已经存储在iCloud中的数据，如iCloud照片、imessage、文本(SMS)和多媒体(MMS)消息；

4. Face ID或Touch ID设置；

5. Apple Pay信息和设置；

6. Apple Mail数据；

7. 活动、健康状况和钥匙串数据(要备份此内容，你必须在iTunes中使用加密备份)。

哪里有保存的密码

用户的密码可以传输在人们的计算机上，由流行的Web浏览器缓存或保存在密码管理器应用程序中。可以使用内存的密钥解锁BitLocker加密的磁盘，访问客户Google帐户中的iCloud数据和数据，破坏强加密或访问用户的全面位置历史记录。

在Windows中

在Windows系统中，一些最流行的具备储存密码功能的Web浏览器包括谷歌Chrome、Mozilla Firefox、Microsoft Edge和Internet Explorer以及Opera浏览器。在所有那些浏览器中，存储的密码只得到松散的保护。因此，可以使用Elcomsoft Internet Password Breaker轻松提取他们。解压缩密码后，你可以使用他们建立自定义字典来攻击加密文档或执行云提取。

要从用户的iCloud帐户中提取数据，请在Elcomsoft Phone Breaker中输入存储的身份验证凭据。

要从客户的谷歌账户中提取数据，请在Elcomsoft Cloud Explorer中使用相应的身份验证凭据。

macOS

macOS将密钥传输在钥匙串中，这样本地和第三方密码都将储存在钥匙串中，至少在谷歌Chrome中是这么。因此，访问密码必须提取和破译钥匙串。

现在，你可以使用Elcomsoft Phone Breaker(有Mac版本)从用户的iCloud帐户中提取数据。要从客户的谷歌账户中提取数据，请在Elcomsoft Cloud Explorer中使用相应的身份验证凭据(用Mac版本)。

电子邮件帐户

通过身份验证的电子邮件客户端(如Outlook或Windows Mail)或借助身份验证的Web浏览器(如Gmail、Hotmail等)可用于请求重置其他客户账户上的密码。请注意，这针对使用双原因身份验证的Apple ID帐户不起作用，另外它也不适用于Google帐户。不过，你一直可以为其它帐户(如社交网络、聊天和实时消息账号)请求重置密码。

锁定记录（Lockdown Record）

锁定记录或配对记录每次用于访问锁定的iOS设备。通过使用从嫌疑人电脑中提取的现有锁定记录，取证专家可以使用iOS Forensic Toolkit和其它取证工具对iOS设备进行逻辑提取。通过逻辑提取，专家可以提取本地备份，访问共享和外媒文件，甚至提取设备崩溃日志。

从用户的计算机中提取锁定记录也许为从锁定的iPhone中提取数据提供了机会。注意，只有当设备进入AFU(第一次解锁后)状态时才可以进行逻辑采集，这就是为什么还要一直维持设备进入的重要因素。

我们终于写了多篇关于锁定记录的文章，虽然其中一些的发表时间终于很长了，但其中的技术至今还是适用的。尤其是，苹果在iOS 11.3中提高了锁定期限，并在macOS中添加了带有访问控制权限的锁定文件。你可以参考下面5篇文章:

1.拥有锁定记录的锁定iPhone；

2.苹果iTunes:独立版与微软商店版；

3.访问macOS上的锁定文件；

4.iOS 11.3将过期日期添加到锁定(配对)记录中；

5.iOS锁定(配对)记录的取证应用。

只有在设备未开启所谓的USB限制方式时，才能进行逻辑采集，即使使用有效的锁定记录也得那么。有关USB限制方式的更多信息，请参考：

1.USB限制方式的介绍；

2.iOS 12增强USB限制方式。

身份验证令牌

这些可以用来访问客户iCloud帐户中的同步数据(令牌应该在用户的计算机上使用，在macOS上，可以提取可存储的无限制令牌)。还有Google云端硬盘的令牌（可用于访问客户的Google云端硬盘帐户中的文件）和Google帐户（可用于从用户的Google帐户中提取大量数据）。

说白了，身份验证令牌是一些数据，允许客户端（Web浏览器，Windows 版 iCloud，Elcomsoft Phone Breaker，Elcomsoft Cloud Explorer等）连接到服务器，而无需为每位请求提供注册名和密码。这些数据传输在小文件中(Web浏览器将他们存储在cookie中)，这些文件可用于防止客户在当前和后续会话之后输入注册名和密码。在不提供(甚至不知道)用户的登陆名和密码的状况下，可以使用这种同样的文件将云取证工具放到相应的云服务中进行验证。

注意，身份验证令牌不包括密钥或其哈希值。相反，它们是完全随机的数据字符串，令牌不能用于攻击密码。

身份验证令牌的使用也会得到限制，我们列举了以下使用令牌可以访问和不能访问的数据类型。

Apple帐户

iCloud认证令牌尤其无法把握移动设备取证，比如他们是哪个，它们是用哪些软件建立的，它们存储在那里，以及怎样和何时使用两者，这些都是我们常常被问到的问题。

在Windows环境中，Apple将iCloud身份验证令牌固定到它们建立的设施上，如果这种“固定”令牌被传输，则不能在其它设备上使用。因此，只能在建立这种令牌的同一台计算机上使用他们。

在macOS环境中，令牌也是固定于macOS计算机。然而，除了“固定”令牌外，我们能够够访问和解读不受限制的令牌。你将必须Elcomsoft Phone Breaker Forensic Edition从macOS中提取不受限制的令牌，然后使用同样的软件来使用令牌从iCloud下载信息。

令牌的作用太多，比如访问同步数据，包括联系人、日历和历史记录；Safari浏览历史和开启标签；钱包卡；通话记录；iCloud照片。另外，你还可以从iCloud驱动器访问文件，包括许多第三方app container (1Password、WhatsApp、Viber等)移动设备取证，获取filevailt2加密驱动器的恢复令牌，并访问iCloud邮件。

不过，你不能使用令牌做的事情有：更改用户的iCloud密码，禁用双因素身份验证，访问密码(iCloud钥匙串)、屏幕时间、健康状况(iOS 12及升级版本)和消息。另外，你能够使用令牌下载iCloud备份。

为了在技术上100%正确，iCloud备份只能使用非双因素验证账户中的有效令牌下载。但是，这些令牌的生命周期仅限于创建令牌后的一小时。换句话说它太短了，它的取证意义十分有限。

不过这次，无论能否使用密码都可以访问iCloud，详情请点此查看。

谷歌账户

如果你就能访问客户的计算机(Mac或PC)，则可以从该计算机(使用Elcomsoft Cloud Explorer)提取二进制身份验证令牌，并使用它绕过密码和双原因身份验证保护。有几种类型的令牌，它们会得到不同方式的限制。

谷歌身份验证令牌是小型XML文件，在Windows电脑上，这些数据传输在客户的内存上。它们保存在mac OS的钥匙串中。这些令牌是在用户使用Chrome浏览器(或用于令牌的微软驱动器应用程序)登录到任何微软服务期间建立的，取证专家可以使用该XML文件中的数据对正在进行和后续会话进行身份验证，而不需要用户再次输入密码或确定双原因身份验证提示符。

谷歌身份验证令牌具有自己的一组限制，虽然他们不是“固定”在特定的计算机上，可以很容易地转移到不同的PC或Mac上，但令牌不能用于防御、重置或修复客户的账户密码。然而，令牌可用于关闭客户谷歌账户中的双原因身份验证。

从Chrome浏览器中提取的令牌更加通用，允许访问多个数据类型。另一方面，谷歌驱动器应用程序生成的令牌只能用于访问用户的微软驱动器中的文件。

你可以在Windows和macOS平台上使用Elcomsoft Cloud Explorer自动提取、传输和使用谷歌身份验证令牌，详情请点击《在没有密码的状况下访问谷歌帐户数据》了解。

总结

移动取证不仅仅针针对iPhone或Android手机，台式计算机就存在着许多与移动设备有关的证据。即使你不能使用身份验证令牌访问备份或任何受保护的容器，Apple iCloud保存的实时数据也比你想像的同步数据要多。

本文翻译自：如若转载，请标明原文地址：

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/tongxinshuyu/article-122570-1.html