雲取證-隔空取物於雲深不知處

云取证的本质-“隔空取物”

都说数据在云端,云深不知处…那要如何搜集证物,找出线索,还原真相呢???

以下是个情境,查扣到智能手机iPhone 5s 1支,因受密码保护,加上取证设备尚无法支持这机型,因此案情陷入胶着…

各位看倌

发挥聪明才智...有idea了吗?没错,还有嫌疑犯使用的笔电或个人计算机可下手…

不说各位可能没留意,通常呢?使用iPhone的人,大多也会用iTune及iCloud,原因无它,习惯使然,好用为何不用呢?但在这案例中,便有了施力点.请各位和在下一同化身为取证人员,展开搜证工作吧~

搜证要领-以Elcomsoft Phone Password Breaker破解iTune备份文檔及隔空取下iCloud备份文檔
一.破解犯嫌在笔电中,受密码保护的iTune备份文檔
二.解开iTune备份文檔及萃取出keychain等重要信息
三.在缺少犯嫌的 Apple ID帐密情况下,隔空取得iCloud备份文檔

1.可字典攻击或暴力攻击iTune备份文檔

2.顺利破解iTune备份文文件的密码

3.解出iTune备份文檔内容

 

4.解出的keychain中包含了很多重要信息

5.取得犯嫌笔电中的iCloud token

6.输入iCloud token

7.犯嫌的iCloud备份文檔出现喽…准备Download呗

后记,这Elcomsoft Phone Password Breaker破密工具在Windows平台使用时,有个小小前提,那就是犯嫌曾在该计算机上安装所谓iCloud control panel方可顺利解出token.但若犯嫌用的是Mac,则iCloud control panel会在安装iTune时便已一并安装毕…这是面向犯嫌使用不同平台时的一个差异.

 

posted @ 2014-12-26 18:16  Pieces0310  阅读(736)  评论(0编辑  收藏