溯源取证-iphone取证-高难度篇

简介: 本次内容主要讲解iphone8取证,算是年前最后一篇了,大家将就着看哈

摘要:

本次内容主要讲解iphone8取证,算是年前最后一篇了,大家将就着看哈

本次使用的工具:

ileappGUI.exe

github一款开源且免费的移动介质取证工具

Magnet Axiom Cyber

一款付费的移动介质取证工具

DB.Browser.for.SQLite-3.12.2-win64

一款免费的数据库查看工具

DCode v5.5

一款适用于多种格式解码的小工具


正式开始:


帕特里克的购物清单上有多少件商品?

使用两款工具都可以对这道题进行解答

图片.png

图片.png

答案:4个


手机的地图里最后一个定位信息的经纬度是什么?

参考:

https://theforensicscooter.com/2021/09/22/iphone-device-speeds-in-cache-sqlite-zrtcllocationmo/

在ileappGUI工具上找到了map地图信息,但是输入后发现都不对,于是在上网查找关于iphone位置信息的内容的时候,发现了上述的文章,原来iphone的位置信息在这里


图片.png

Jess_CTF_iPhone8\fb028ddefa8af7df5b12d3e729f075d150637a31_files_full\private\var\mobile\Library\Caches\com.apple.routined\Cache.sqlite

使用sqlite工具打开这个数据库文件

图片.png

直接选中ZRTCLLOCATIONMO 表而后拉到最下面的就是最后的位置信息了

38.84412765, -77.28686523


手机上一次重新启动的时间是什么?

图片.png

2022-02-14 11:44:13


帕特里克的 Reddit 帐户是什么时候创建的?

这个不得不借助Magnet Axiom Cyber取证工具了

图片.png


2022-01-21 21:59:38


帕特里克最近卸载了哪个应用程序?

图片.png

图片.png

WeChat


帕特里克 从 Reddit 收到的最后一条通知中的消息内容是什么?

图片.png

Kornbread and Jorgeous are still Making Fun of Cynthia's Car Crash...

不知道为什么, Axiom搜索不到这个消息

图片.png


帕特里克对工作标签标记的颜色所对应的十六进制是什么?

这个题就有点烦人了,因为新版本的取证工具已经把颜色和标题选项给合并到一起了,那么我又如何得知他的十六进制代码是啥

图片.png

图片.png


#CC73E1FF


帕特里克有多少封促销类别的电子邮件未读?

这个是真没找到


帕特里克的提示铃声是什么?

图片.png


帕特里克的蜂窝服务即将到期了,你知道他具体的到期时间吗?

图片.png

图片.png

05/02/22


哪个应用程序的屏幕使用时间最多?

图片.png

直接按照软件是不行的,因为这个屏幕使用时间他没有做统计,所以需要把数据导出来,然后单独计算求和

图片.png


图片.png

图片.png

选择导出后直接打开,此处使用wps打开,因为wps有一个叫数据透视表的功能,简单来说就是它可以将重复的项目合并到一个,然后用来求和,但是不知道为啥,我说啥也求不出来和

图片.png

图片.png


最后还是TM的手动求和算出来的,com.moxco.bumble的使用时间为2686,所以他才是最多的


帕特里克的 Reddit 账户头像代表什么动物?答案为该动物的缩写

我们返回到第4个问题


图片.png

访问源文件

图片.png

其实我也不知道这个是不是,因为这个Reddit我也没用过

图片.png

从Bumble 上的消息中发送给 帕特里克的 GIF动态图片的文件名是什么?

图片.png

图片.png

图片.png

图片.png

无语子,名字在这呢,猜焖呢这是


帕特里克记录了一个生活照片,他拍摄照片的时候正在朝哪个方向移动?

这道题就有点难为人了......这谁能通过照片推断出来人往哪走,而且这个照片其实挺多的,如果不是凑巧就一张,鬼知道拍摄现场的照片指的是哪一个

图片.png

图片.png

G了,狗屁看不出来


帕特里克近期搜索了一次他的ip位置,请问他最早是什么时候搜索的ip信息?

图片.png

访问以下网站,下面的网站可以还原访问url的信息

https://dfir.blog/unfurl/

图片.png

解码的话,因为老外的时间戳和咱们的略有不同,所以

https://gchq.github.io/

图片.png

然后就发现时间错了,后来看人家的,发现并不是UTC,问题是我哪知道他是哪里的人啊

这道题应该是关联14题,14题应该是需要拿到坐标,拿到坐标之后就知道人家是哪里人哪个时区了,问题是臣妾办不到啊

图片.png

为什么不能按照取证工具的来呢

图片.png


相关文章
|
安全 物联网 测试技术
网络入侵调查的电子数据取证方法!
网络入侵调查的电子数据取证方法!
136 0
|
存储 数据挖掘
对自己手机的一次取证之路
对自己手机的一次取证之路
280 0
|
安全 网络安全 数据安全/隐私保护
小米电动滑板车被曝漏洞,黑客可远程控制
黑客可对车辆实行完全的远程控制,也可让该电动滑板车在使用过程中突然加速或刹车。
450 0
|
机器学习/深度学习 安全 Windows
|
安全 物联网 定位技术
2016年手机恶意软件演变分析报告(二)
本文讲的是2016年手机恶意软件演变分析报告(二),在2016年,手机恶意安装软件包数量大幅增长,达到8,526,221个——是上一年的三倍。作为比较,从2004年到2013年,我们检测到超过一千万个恶意安装软件包;而在2014年,这个数字是近250万个。
1799 0
|
安全 Android开发 数据安全/隐私保护
2016年手机恶意软件演变分析报告(一)
本文讲的是2016年手机恶意软件演变分析报告(一),在2016年,卡巴斯基实验室检测到以下内容:
1923 0
|
安全 数据安全/隐私保护 iOS开发
美帝黑产追踪:被盗 iPhone 洗白记
本文讲的是美帝黑产追踪:被盗 iPhone 洗白记,众所周知,国内被盗iPhone洗白的黑产已经非常成熟。一台iPhone被盗后,其绑定的苹果账号会由上游的专业盗号团伙窃取密码,清除绑定关系,进而洗白转手。
2147 0
|
Web App开发 新零售 安全
大型挂马团伙“擒狼”攻击分析及溯源报告
本文讲的是大型挂马团伙“擒狼”攻击分析及溯源报告,7月13日,360安全卫士检测到一起网站广告位挂马事件,大量网络广告出现集体挂马,广告内容以同城交友等诱惑信息为主,预警为“擒狼”木马攻击。我们通过对整个挂马攻击的分析溯源发现,这个木马主要功能是锁定浏览器的主页并带有远程控制后门,作者通过木马谋取暴利,是一起典型的黑产行为。
2308 0