码迷,mamicode.com
首页 > 其他好文 > 详细

雲取證-隔空取物於雲深不知處

时间:2014-12-26 20:04:50      阅读:180      评论:0      收藏:0      [点我收藏+]

标签:

云取证的本质-“隔空取物”

都说数据在云端,云深不知处…那要如何搜集证物,找出线索,还原真相呢???

以下是个情境,查扣到智能手机iPhone 5s 1支,因受密码保护,加上取证设备尚无法支持这机型,因此案情陷入胶着…

各位看倌

发挥聪明才智...有idea了吗?没错,还有嫌疑犯使用的笔电或个人计算机可下手…

不说各位可能没留意,通常呢?使用iPhone的人,大多也会用iTune及iCloud,原因无它,习惯使然,好用为何不用呢?但在这案例中,便有了施力点.请各位和在下一同化身为取证人员,展开搜证工作吧~

搜证要领-以Elcomsoft Phone Password Breaker破解iTune备份文檔及隔空取下iCloud备份文檔
一.破解犯嫌在笔电中,受密码保护的iTune备份文檔
二.解开iTune备份文檔及萃取出keychain等重要信息
三.在缺少犯嫌的 Apple ID帐密情况下,隔空取得iCloud备份文檔

1.可字典攻击或暴力攻击iTune备份文檔

技术分享

2.顺利破解iTune备份文文件的密码

技术分享

3.解出iTune备份文檔内容

技术分享

 

4.解出的keychain中包含了很多重要信息

技术分享

5.取得犯嫌笔电中的iCloud token

技术分享

6.输入iCloud token

技术分享

7.犯嫌的iCloud备份文檔出现喽…准备Download呗

技术分享

后记,这Elcomsoft Phone Password Breaker破密工具在Windows平台使用时,有个小小前提,那就是犯嫌曾在该计算机上安装所谓iCloud control panel方可顺利解出token.但若犯嫌用的是Mac,则iCloud control panel会在安装iTune时便已一并安装毕…这是面向犯嫌使用不同平台时的一个差异.

 

雲取證-隔空取物於雲深不知處

标签:

原文地址:http://www.cnblogs.com/pieces0310/p/4187396.html

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!