溯源取证-iphone取证-高难度篇

简介: 本次内容主要讲解iphone8取证,算是年前最后一篇了,大家将就着看哈

摘要:

本次内容主要讲解iphone8取证,算是年前最后一篇了,大家将就着看哈

本次使用的工具:

ileappGUI.exe

github一款开源且免费的移动介质取证工具

Magnet Axiom Cyber

一款付费的移动介质取证工具

DB.Browser.for.SQLite-3.12.2-win64

一款免费的数据库查看工具

DCode v5.5

一款适用于多种格式解码的小工具


正式开始:


帕特里克的购物清单上有多少件商品?

使用两款工具都可以对这道题进行解答

图片.png

图片.png

答案:4个


手机的地图里最后一个定位信息的经纬度是什么?

参考:

https://theforensicscooter.com/2021/09/22/iphone-device-speeds-in-cache-sqlite-zrtcllocationmo/

在ileappGUI工具上找到了map地图信息,但是输入后发现都不对,于是在上网查找关于iphone位置信息的内容的时候,发现了上述的文章,原来iphone的位置信息在这里


图片.png

Jess_CTF_iPhone8\fb028ddefa8af7df5b12d3e729f075d150637a31_files_full\private\var\mobile\Library\Caches\com.apple.routined\Cache.sqlite

使用sqlite工具打开这个数据库文件

图片.png

直接选中ZRTCLLOCATIONMO 表而后拉到最下面的就是最后的位置信息了

38.84412765, -77.28686523


手机上一次重新启动的时间是什么?

图片.png

2022-02-14 11:44:13


帕特里克的 Reddit 帐户是什么时候创建的?

这个不得不借助Magnet Axiom Cyber取证工具了

图片.png


2022-01-21 21:59:38


帕特里克最近卸载了哪个应用程序?

图片.png

图片.png

WeChat


帕特里克 从 Reddit 收到的最后一条通知中的消息内容是什么?

图片.png

Kornbread and Jorgeous are still Making Fun of Cynthia's Car Crash...

不知道为什么, Axiom搜索不到这个消息

图片.png


帕特里克对工作标签标记的颜色所对应的十六进制是什么?

这个题就有点烦人了,因为新版本的取证工具已经把颜色和标题选项给合并到一起了,那么我又如何得知他的十六进制代码是啥

图片.png

图片.png


#CC73E1FF


帕特里克有多少封促销类别的电子邮件未读?

这个是真没找到


帕特里克的提示铃声是什么?

图片.png


帕特里克的蜂窝服务即将到期了,你知道他具体的到期时间吗?

图片.png

图片.png

05/02/22


哪个应用程序的屏幕使用时间最多?

图片.png

直接按照软件是不行的,因为这个屏幕使用时间他没有做统计,所以需要把数据导出来,然后单独计算求和

图片.png


图片.png

图片.png

选择导出后直接打开,此处使用wps打开,因为wps有一个叫数据透视表的功能,简单来说就是它可以将重复的项目合并到一个,然后用来求和,但是不知道为啥,我说啥也求不出来和

图片.png

图片.png


最后还是TM的手动求和算出来的,com.moxco.bumble的使用时间为2686,所以他才是最多的


帕特里克的 Reddit 账户头像代表什么动物?答案为该动物的缩写

我们返回到第4个问题


图片.png

访问源文件

图片.png

其实我也不知道这个是不是,因为这个Reddit我也没用过

图片.png

从Bumble 上的消息中发送给 帕特里克的 GIF动态图片的文件名是什么?

图片.png

图片.png

图片.png

图片.png

无语子,名字在这呢,猜焖呢这是


帕特里克记录了一个生活照片,他拍摄照片的时候正在朝哪个方向移动?

这道题就有点难为人了......这谁能通过照片推断出来人往哪走,而且这个照片其实挺多的,如果不是凑巧就一张,鬼知道拍摄现场的照片指的是哪一个

图片.png

图片.png

G了,狗屁看不出来


帕特里克近期搜索了一次他的ip位置,请问他最早是什么时候搜索的ip信息?

图片.png

访问以下网站,下面的网站可以还原访问url的信息

https://dfir.blog/unfurl/

图片.png

解码的话,因为老外的时间戳和咱们的略有不同,所以

https://gchq.github.io/

图片.png

然后就发现时间错了,后来看人家的,发现并不是UTC,问题是我哪知道他是哪里的人啊

这道题应该是关联14题,14题应该是需要拿到坐标,拿到坐标之后就知道人家是哪里人哪个时区了,问题是臣妾办不到啊

图片.png

为什么不能按照取证工具的来呢

图片.png


相关文章
|
14天前
|
存储 定位技术
溯源取证-手机取证-简单篇
我们目前正在调查一起谋杀案,目前已经获得了受害者的手机作为关键证据。在与证人和受害者核心圈子相关人员进行面谈后,您的目标是分析我们收集的信息,并努力追踪证据,以拼凑出导致事件发生的事件顺序。
|
安全 物联网 测试技术
网络入侵调查的电子数据取证方法!
网络入侵调查的电子数据取证方法!
141 0
|
存储 数据挖掘
对自己手机的一次取证之路
对自己手机的一次取证之路
289 0
|
网络协议 安全
工控CTF_纵横网络靶场_工控安全取证
工控CTF_纵横网络靶场_工控安全取证
工控CTF_纵横网络靶场_工控安全取证
|
安全 物联网 定位技术
2016年手机恶意软件演变分析报告(二)
本文讲的是2016年手机恶意软件演变分析报告(二),在2016年,手机恶意安装软件包数量大幅增长,达到8,526,221个——是上一年的三倍。作为比较,从2004年到2013年,我们检测到超过一千万个恶意安装软件包;而在2014年,这个数字是近250万个。
1804 0
|
安全 Android开发 数据安全/隐私保护
2016年手机恶意软件演变分析报告(一)
本文讲的是2016年手机恶意软件演变分析报告(一),在2016年,卡巴斯基实验室检测到以下内容:
1927 0
|
存储 安全 Linux
《iOS取证实战:调查、分析与移动安全》一1.3 取证审查方法
本节书摘来自华章出版社《iOS取证实战:调查、分析与移动安全》一书中的第1章,第1.3节,作者(美)Andrew Hoog Katie Strzempka,更多章节内容可以访问云栖社区“华章计算机”公众号查看
3364 0