本文將以Mac OS系統的相關軟體來針對可能的犯罪工具iOS裝置進行鑑識,目標是要找到攻擊者利用iOS裝置進行遠端桌面連線到被害人電腦後所可能留下的足跡。
iOS作業系統的檔案格式主要分為兩種:內容為使用者對裝置配置設定的Property List(.plist)檔案與儲存使用者個人資料庫的SOLite(.sql)檔案,而記錄使用行為的資料內容多儲存在Log(.log)檔案或Cookies(.binarycookies)檔案內。
OS X作業系統
OS X是蘋果公司以Unix為基礎所開發的圖形化使用者介面作業系統,專屬於Macintosh電腦,是Mac OS的最終版本。
OS X作業系統包含兩個主要的部分:核心名為「Darwin」,是以FreeBSD原始碼和Mach微核心為基礎,由蘋果公司和獨立開發者社群協力開發,以及一個名為「Aqua」之專有版權的圖形使用者介面,由蘋果電腦自行開發。
以往的OS X版本是以大型貓科動物命名,例如Mac OS X v10.7被稱為「Lion」,隨著2013年6月OS X Mavericks的公布,命名方式開始轉為採用加州地標。目前OS X的最新正式版本為10.11 El Capitan,而本文則是以2014年發行的OS X Yosemite(優勝美地)為討論背景。
軟體工具
此類軟體工具皆支援PC與Macintosh,而本文之使用環境以Macintosh為主。
TeamViewer
TeamViewer是一款免費且知名度相當高的VNC軟體,相容於Microsoft Windows、Mac OS X、Linux、iOS、Android作業系統。只要在兩台電腦或裝置內安裝此軟體,如圖1所示,連上網路後即可透過相當簡易的操作來進行遠端控制。
 |
| ▲圖1 TeamViewer使用畫面。 |
TeamViewer還具有可穿越防火牆的功能,並支援檔案傳輸、遠端喚醒與多人會議模式等功能,主要使用80、443、5938通訊埠(Port)。
Chrome Remote Desktop
Chrome Remote Desktop是Google公司於2014年所推出的遠端桌面軟體,為Google Chrome瀏覽器的擴充軟體,如圖2所示,只要透過該瀏覽器即可安裝使用。透過啟用電腦本身的遠端存取功能來進行RDP連線,輸入Server端電腦的PIN碼後,即可使用遠端桌面的功能,主要使用80、443、5222通訊埠。
 |
| ▲圖2 Chrome Remote Desktop開啟畫面。 |
iTunes
iTunes是蘋果公司針對其產品所推出的應用程式,用來播放以及管理數位影音檔案,並可連接iTunes Store來購買相關影音產品,如圖3所示,有音樂、影片、廣播、書籍等許多功能。而連接行動裝置後,則成為管理蘋果iOS裝置的檔案系統程式,可於蘋果官方網站免費下載。本文即透過iTunes取得iPhone之備份來做分析。
 |
| ▲圖3 iTunes提供多種功能。 |
iBackup Viewer
iBackup Viewer為檢視iOS備份或裝置的應用程式,將其備份之加密文件解密而得以直接檢視其內容,如圖4所示,可透過此程式來取得聯絡資訊、電話紀錄、訊息、網路紀錄,還可以在HFS+架構下查看部分檔案的內容。
 |
| ▲圖4 iBackup Viewer程式畫面。 |
iPhone Backup Extractor
iPhone Backup Extractor是用來萃取iPhone系統檔案的應用程式。雖然使用畫面簡易,卻能直接從備份的檔案架構內進行萃取,如圖5所示,其所取得的內容相當完整,能將檔案的二進位檔案與SQLite檔案內容解密,方便後續的分析作業。
 |
| ▲圖5 iPhone Backup Extractor操作介面。 |
遠端桌面連線方式
遠端桌面相關軟體的發展,已隨著電腦作業系統的不同而出現許多的種類,接著將以近年來使用較普及且知名度較高的TeamViewer、Chrome Remote Desktop兩大軟體做連線方式的介紹。
以TeamViewer連線
安裝檔可以從TeamViewer官方網站下載並安裝,安裝後的開啟畫面如圖6所示。
 |
| ▲圖6 TeamViewer開啟畫面,左邊為Server端ID與密碼。 |