2019年10月17日

Apple authentication processの痕跡について(com.apple.identityservices.idstatuscache.plist)

ファイル:/var/mobile/Library/Preferences/com.apple.identityservices.idstatuscache.plist
 ※上記パスは、iPhoneのケース

【ネット上の解説】

● http://slidehtml5.com/zykj/kwdj/basic

This property list can also be a gold mine of information for deleted messages in FaceTime, iMessage, or e-mail. Identity services confirm the validity of a user’s credentials as it travels across the ESS (Enterprise Shared Services) of Apple. So within this file are phone numbers and e-mail addresses along with a UNIX date of the lookup for clear credentials. Content is not included, but simply having the metadata of the occurrence is enough.

このプロパティリストは、FaceTime、iMessage、または電子メールで削除されたメッセージに関する情報の宝庫でもあります。 アイデンティティサービスは、AppleのESS(エンタープライズ共有サービス)を通過するときに、ユーザーの資格情報の有効性を確認します。 したがって、このファイル内には、電話番号と電子メールアドレス、および明確な資格情報の検索のUNIX日付が含まれています。 コンテンツは含まれていませんが、オカレンスのメタデータがあれば十分です。


https://www.cellebrite.com/en/blog/how-ios-properties-files-can-confirm-a-suspects-contacts-even-if-data-deleted/

These records are significant as Apple device users of Facetime or iMessage input the Apple ID of another user the first time they attempt to contact them. When this occurs, the iOS references its Apple servers to validate the Apple User ID. As a result of this process, a new file record is created with the Apple User ID in a phone-number or email format including a timestamp. This user authentication record in the file cannot be deleted from a phone.
For digital investigators, this can be a vital source of digital evidence as the apple-id, communication type and timestamp can help confirm that two people have communicated with each other, and when their first communication occurred.

The authentication ping only happens once during the first instance that a user made an effort to contact another Apple user. Additionally, separate authentication records are recorded for each type of Apple communication service per device. This means that Facetime or iMessage communications are recorded separately at different times according to their first usage between users.

Even if data has been deleted from a phone’s directories or database, the authentication file remains intact, containing contact and communication records that can be parsed. It is important to note that this data only confirms that an authentication occurred but does not mean that a conversation happened or that a message was actually sent.

For example, when a person starts writing a message they could enter a recipients name and the authentication could occur so the record would appear in the database. If the person decides not to send the message, there would still be a record of an unsent message.

For members of the DFIR community, this capability was released on UFED Physical Analyzer 7.19. This feature is especially useful when attempting to establish the first contact between two or more persons of interest who also have Apple User Id’s. In UFED Physical Analyzer, this data is displayed as a log-entry with the relevant data: application, apple-id and timestamp.

View more details regarding the release of UFED Physical Analyzer 7.19 which also brought support of new data sources that can help investigators surface key evidence related to case subjects, especially when an iOS device is involved.

FacetimeまたはiMessageのAppleデバイスユーザーが最初に連絡しようとしたときに別のユーザーのApple IDを入力するため、これらのレコードは重要です。 これが発生すると、iOSはAppleサーバーを参照してAppleユーザーIDを検証します。 このプロセスの結果として、タイムスタンプを含む電話番号または電子メール形式のAppleユーザーIDで新しいファイルレコードが作成されます。 ファイル内のこのユーザー認証レコードは、電話から削除できません。
デジタル調査員にとって、これは、Apple ID、通信タイプ、およびタイムスタンプが2人が互いに通信したこと、および最初の通信がいつ発生したかを確認するのに役立つため、デジタル証拠の重要なソースになります。

認証pingは、ユーザーが別のAppleユーザーに連絡しようとした最初のインスタンス中に1回だけ発生します。さらに、デバイスごとにApple通信サービスのタイプごとに個別の認証レコードが記録されます。つまり、FacetimeまたはiMessageの通信は、ユーザー間の最初の使用状況に応じて、異なる時間に別々に記録されます。

電話のディレクトリまたはデータベースからデータが削除された場合でも、認証ファイルはそのまま残り、解析可能な連絡先と通信の記録が含まれます。このデータは認証が行われたことを確認するだけであり、会話が発生したことやメッセージが実際に送信されたことを意味するものではないことに注意することが重要です。

たとえば、メッセージの作成を開始するときに、受信者の名前を入力すると、認証が行われ、レコードがデータベースに表示されます。その人がメッセージを送信しないことに決めた場合、未送信のメッセージの記録が残っています。

DFIRコミュニティのメンバー向けに、この機能はUFED Physical Analyzer 7.19でリリースされました。この機能は、AppleユーザーIDも持っている2人以上の関心のある人の間で最初の連絡を確立しようとする場合に特に便利です。 UFED Physical Analyzerでは、このデータは関連するデータ(アプリケーション、アップルID、タイムスタンプ)を含むログエントリとして表示されます。

UFED Physical Analyzer 7.19のリリースに関する詳細をご覧ください。特にiOSデバイスが関与している場合、調査対象者が事件の主題に関連する重要な証拠を明らかにするのに役立つ新しいデータソースのサポートも提供されました。
posted by 貝貝 at 09:22| Comment(0) | スマートフォン | このブログの読者になる | 更新情報をチェックする

2019年04月16日

adbコマンドによるバックアップ及びAPKファイルの取得方法

☆ adb.exe は、Ver1.0.36を使用
  ※ 古いVersionにはバグがあり、backupが正常に動かないことがある

◎アプリのパッケージ名を検索(「File Commander」を検索する例)
-------
>adb shell pm list packages |findstr file
package:com.mobisystems.fileman
--------------------------------------

◎アプリ指定でADB Bacukupを取る(Xperia等、制限されている機種あり)
-------
>adb backup -apk com.mobisystems.fileman
※ バックアップファイルはデフォルトで「backup.ab」に作成される
ファイル名を変更する場合は -f オプションで指定
--------------------------------------

◎フルバックアップを取る
-------
>adb backup -all -apk
※ 共有ストレージ(画像等)のデータを含める場合は -shared オプションを指定
--------------------------------------

◎ログ検索(「backup」を含むログを検索する例)
-------
>adb shell logcat |findstr backup
--------------------------------------

◎APKファイルの抽出(/dataディレクトリのアクセス権がある機種)
-------
・パッケージのディレクトリ検索
>adb shell pm list packages -f |findstr file
package:/data/app/com.mobisystems.fileman-1/base.apk=com.mobisystems.fileman
・APKファイルの転送
>adb pull /data/app/com.mobisystems.fileman-1/base.apk
5015 KB/s (12665841 bytes in 2.466s)
--------------------------------------
※ アクセス権がない場合、-apkオプションでadb backupを取得し、Oxygen等のソフトで解凍してAPKファイルを取り出す

◎APKファイルのインストール
-------
>adb install ".\File Commander のAPK\base.apk"
3594 KB/s (12665841 bytes in 3.440s)
pkg: /data/local/tmp/base.apk
Success
※ SDメモリ経由で、端末のファイラーからインストールも可)
--------------------------------------

◎Android端末のコンソールモードでコマンド実行
-------
>adb shell -x
SOV31:/ $
--------------------------------------


【参考】OxygenでのAndroid Backup時に発行されるコマンド
"C:\Program Files (x86)\Oxygen Software\Oxygen Forensic Analyst\SystemFiles\Adb.exe" -s "BH9035W823" backup -all -apk -f "C:\Users\xxx\OxyForensic\Phones\359556060390299-16-04-2019 16-42-49\DeviceImage\adbbackup.ab"

posted by 貝貝 at 11:11| Comment(0) | スマートフォン | このブログの読者になる | 更新情報をチェックする

2018年11月15日

UFED: Physical Analyzerのドングルキーが認識しない場合の対処

ドングルキーを挿入すると、デバイスマネージャーで「HASP」デバイスに!マークがついてエラーになる場合

下記からHASPドライバをダウンロードして、インストールすることにより解消する

http://www.webtech.co.jp/support/download/Sentinel_LDK_Run-time_setup_20180406.zip
posted by 貝貝 at 14:08| Comment(0) | スマートフォン | このブログの読者になる | 更新情報をチェックする

2018年11月06日

Airdropで送受信したファイルの痕跡(iOS)

Airdropの受け入れ設定で「すべての人」となっている相手に、勝手に画像ファイルを送りつけるなどした場合
・各デバイス上において、Aidropの履歴の存在は確認できない
・送られた相手が、受け入れ確認画面で「辞退」を選択すると、画像ファイル自体も一切残らない
・画像ファイル以外で痕跡として認められるものとしては、各デバイスの
  /Private/var/mobile/Library/Preference/com.apple.MobileBluetooth.devices.plist
に、Bluetoothでペアリングした相手のBluetoothのMacアドレスが記録される場合がある(日時は記録なし)
・受信側が画像を保存した場合、以下の情報が残る
 Photos.sqlite
  ZGENERICASSETテーブル
   受け側
    ZADDDATE 保存日時
   送信側
    ZLASTSHAREDDATE 送信日時
  ZADDITIONALASSETATTRIBUTES
   受け側
    ZORIGINALFILENAME 送信側の画像ファイル名
posted by 貝貝 at 15:38| Comment(1) | スマートフォン | このブログの読者になる | 更新情報をチェックする

2018年05月18日

LINEのトークをテキストでバックアップする方法(Android)

@ LINEでバックアップするトークを開く(トーク単位でしかバックアップできない)
A 右上の下向き矢印をタップし、「トーク設定」を選択
B 「トーク履歴をバックアップ」を選択
C 「テキストでバックアップ」を選択  ※「すべてをバックアップ」では非可読形式になる
D 保存先で「LINE keep」を選択
  ※内部ストレージやSDメモリに保存する場合は、「File Commander」等のファイラーアプリを選択する
E (LINE Keepに保存した場合)友達一覧から自分のアカウントをタップし、左下「Keep」をタップ
F 「[LINE]〇〇とのトーク.txt」として保存されているので、ダウンロードする
G 内部ストレージのダウンロードフォルダ内、「LINE」サブフォルダにダウンロードされる
H Android端末をPCへ接続し、PCへコピー

※ Android版LINEはadb Backup対象外のため、保存はこの方法による

バックアップの内容例
----------------
[LINE] Johnとのトーク履歴
保存日時:2018/05/18 15:05

2017/10/04(水)
9:11 John  住所を送ってください。
9:11 John  時間あるときで大丈夫です。
9:11 W.RICK [スタンプ]

2017/12/20(水)
14:33 John ホテルでケータイの充電器を忘れた人がいるようなので確認をお願いします。
14:33 John [写真]
14:35 W.RICK 忘れました。でも200円なので放棄します。
14:35 John ホテルから電話がかかってきて忘れた方連絡下さいとのことなのでお願いします
14:36 John 0123-99-10001です。
14:37 W.RICK 了解、お騒がせしました。
----------------
posted by 貝貝 at 16:18| Comment(0) | スマートフォン | このブログの読者になる | 更新情報をチェックする

2018年05月17日

UFED抽出データをOxygen Forensicへインポート(iPhone)

iPhoneからUFED Ultimateで抽出したデータをOxygen Forensicへインポートする手順
(Softbank iPhone 5Cの例)

@ UFED抽出データのフォルダから「FileSystem 01\SoftBank_iPhone 5C.zip\iPhoneDump\Backup Service\」以下を解凍する
A OxygenでFile−import backup fileを実行し、「iTunes Backup」を選択し、上記フォルダから「Manifest.plist」を選択する
B iTunes Backupのパスワードを入力する
  ※ パスワードなしの場合でも、UFEDが自動的にパスワード「1234」を設定している場合がある(プライベートデータ抽出のため)
posted by 貝貝 at 10:51| Comment(0) | スマートフォン | このブログの読者になる | 更新情報をチェックする

2018年03月19日

スマホアプリの購入履歴(無料アプリ含む)

● iPhone
App Store や iTunes Store で購入履歴を確認する - Apple サポート.pdf

● Android
com.android.vending/db/localappstate.db の appstateテーブルにアプリ名と購入日が記録されている。(UFED Ultimateで自動解析可能)

(参考)Androidに関する他の方法Google Playで購入履歴を確認・削除する方法.pdf
 ※ Androidは有料版アプリしか表示されない。無料アプリはGoogle Playの「マイアプリ」・ESファイルエクスプローラで、最終アップデート日のみ参照可能
posted by 貝貝 at 09:34| Comment(0) | スマートフォン | このブログの読者になる | 更新情報をチェックする

2018年01月16日

UFEDによる iTunes Backup の暗号化解除

@ UFED ULTIMATEのトップメニューから、画面右上の「ツール」をタップし、iPhoneを接続
A 「Disable iTunes encryption password」をタップ
B 解除成功後、通常通りデータ抽出を行う
  ※ 成功する確率は高くない
UFED1.jpg@
UFED2.jpgA
posted by 貝貝 at 15:32| Comment(0) | スマートフォン | このブログの読者になる | 更新情報をチェックする