iPhone(iOS)利用頻度の高い場所 ※位置情報履歴

設定 → プライバシー → 位置情報サービス → (メニューの一番下)システムサービス → 利用頻度の高い場所

posted by 貝貝 at 11:14| Comment(0) | Mac | このブログの読者になる | 更新情報をチェックする




AaddonsのページからCertMaker for iOS and Androidをインストール。

Bfiddlerを起動してTools>Options>HTTPSからCapture HTTPS CONNECTsを有効にする。


DTools>Options>ConnectionsのAllow remote computers to connectを有効にする。

EInspectorsとかがあるパネルのFiddlerScriptタブを開いて、static function OnBeforeRequest関数に以下の処理を追加する。

  if (oSession.HTTPMethodIs("CONNECT"))
    oSession["https-DropSNIAlerts"] = "yup";
    FiddlerApplication.Log.LogString("Legacy compat applied for request");

Ffiddlerを再起動してTools>Options>HTTPS>ActionsからReset All Certificatesを実行し、その後Trust Root Certificateを実行して証明書を設定しなおす。


HiPhoneのsafariを開いてhttp://ipv4.fiddler:8888にアクセスし、FiddlerRoot certificateのリンクから証明書をダウンロードする。




posted by 貝貝 at 11:58| Comment(0) | Internet | このブログの読者になる | 更新情報をチェックする


Apple authentication processの痕跡について(com.apple.identityservices.idstatuscache.plist)



● http://slidehtml5.com/zykj/kwdj/basic

This property list can also be a gold mine of information for deleted messages in FaceTime, iMessage, or e-mail. Identity services confirm the validity of a user’s credentials as it travels across the ESS (Enterprise Shared Services) of Apple. So within this file are phone numbers and e-mail addresses along with a UNIX date of the lookup for clear credentials. Content is not included, but simply having the metadata of the occurrence is enough.

このプロパティリストは、FaceTime、iMessage、または電子メールで削除されたメッセージに関する情報の宝庫でもあります。 アイデンティティサービスは、AppleのESS(エンタープライズ共有サービス)を通過するときに、ユーザーの資格情報の有効性を確認します。 したがって、このファイル内には、電話番号と電子メールアドレス、および明確な資格情報の検索のUNIX日付が含まれています。 コンテンツは含まれていませんが、オカレンスのメタデータがあれば十分です。


These records are significant as Apple device users of Facetime or iMessage input the Apple ID of another user the first time they attempt to contact them. When this occurs, the iOS references its Apple servers to validate the Apple User ID. As a result of this process, a new file record is created with the Apple User ID in a phone-number or email format including a timestamp. This user authentication record in the file cannot be deleted from a phone.
For digital investigators, this can be a vital source of digital evidence as the apple-id, communication type and timestamp can help confirm that two people have communicated with each other, and when their first communication occurred.

The authentication ping only happens once during the first instance that a user made an effort to contact another Apple user. Additionally, separate authentication records are recorded for each type of Apple communication service per device. This means that Facetime or iMessage communications are recorded separately at different times according to their first usage between users.

Even if data has been deleted from a phone’s directories or database, the authentication file remains intact, containing contact and communication records that can be parsed. It is important to note that this data only confirms that an authentication occurred but does not mean that a conversation happened or that a message was actually sent.

For example, when a person starts writing a message they could enter a recipients name and the authentication could occur so the record would appear in the database. If the person decides not to send the message, there would still be a record of an unsent message.

For members of the DFIR community, this capability was released on UFED Physical Analyzer 7.19. This feature is especially useful when attempting to establish the first contact between two or more persons of interest who also have Apple User Id’s. In UFED Physical Analyzer, this data is displayed as a log-entry with the relevant data: application, apple-id and timestamp.

View more details regarding the release of UFED Physical Analyzer 7.19 which also brought support of new data sources that can help investigators surface key evidence related to case subjects, especially when an iOS device is involved.

FacetimeまたはiMessageのAppleデバイスユーザーが最初に連絡しようとしたときに別のユーザーのApple IDを入力するため、これらのレコードは重要です。 これが発生すると、iOSはAppleサーバーを参照してAppleユーザーIDを検証します。 このプロセスの結果として、タイムスタンプを含む電話番号または電子メール形式のAppleユーザーIDで新しいファイルレコードが作成されます。 ファイル内のこのユーザー認証レコードは、電話から削除できません。
デジタル調査員にとって、これは、Apple ID、通信タイプ、およびタイムスタンプが2人が互いに通信したこと、および最初の通信がいつ発生したかを確認するのに役立つため、デジタル証拠の重要なソースになります。




DFIRコミュニティのメンバー向けに、この機能はUFED Physical Analyzer 7.19でリリースされました。この機能は、AppleユーザーIDも持っている2人以上の関心のある人の間で最初の連絡を確立しようとする場合に特に便利です。 UFED Physical Analyzerでは、このデータは関連するデータ(アプリケーション、アップルID、タイムスタンプ)を含むログエントリとして表示されます。

UFED Physical Analyzer 7.19のリリースに関する詳細をご覧ください。特にiOSデバイスが関与している場合、調査対象者が事件の主題に関連する重要な証拠を明らかにするのに役立つ新しいデータソースのサポートも提供されました。
posted by 貝貝 at 09:22| Comment(0) | スマートフォン | このブログの読者になる | 更新情報をチェックする



@Google ChromeでGmailにアクセスし、「設定」−「オフライン」





※ メールデータは、PCの下記ローカルフォルダにIndexDB形式で保存される

C:\Users\ユーザー\AppData\Local\Google\Chrome\User Data\Default\IndexedDB\https_mail.google.com_0.indexeddb.leveldb
posted by 貝貝 at 15:33| Comment(0) | Internet | このブログの読者になる | 更新情報をチェックする