云取证的本质-“隔空取物”
都说数据在云端,云深不知处…那要如何搜集证物,找出线索,还原真相呢???
以下是个情境,查扣到智能手机iPhone 5s 1支,因受密码保护,加上取证设备尚无法支持这机型,因此案情陷入胶着…
各位看倌
发挥聪明才智...有idea了吗?没错,还有嫌疑犯使用的笔电或个人计算机可下手…
不说各位可能没留意,通常呢?使用iPhone的人,大多也会用iTune及iCloud,原因无它,习惯使然,好用为何不用呢?但在这案例中,便有了施力点.请各位和在下一同化身为取证人员,展开搜证工作吧~
搜证要领-以Elcomsoft Phone Password Breaker破解iTune备份文檔及隔空取下iCloud备份文檔
一.破解犯嫌在笔电中,受密码保护的iTune备份文檔
二.解开iTune备份文檔及萃取出keychain等重要信息
三.在缺少犯嫌的 Apple ID帐密情况下,隔空取得iCloud备份文檔
1.可字典攻击或暴力攻击iTune备份文檔
2.顺利破解iTune备份文文件的密码
3.解出iTune备份文檔内容
4.解出的keychain中包含了很多重要信息
5.取得犯嫌笔电中的iCloud token
6.输入iCloud token
7.犯嫌的iCloud备份文檔出现喽…准备Download呗
后记,这Elcomsoft Phone Password Breaker破密工具在Windows平台使用时,有个小小前提,那就是犯嫌曾在该计算机上安装所谓iCloud control panel方可顺利解出token.但若犯嫌用的是Mac,则iCloud control panel会在安装iTune时便已一并安装毕…这是面向犯嫌使用不同平台时的一个差异.