iOS越獄後系統門戶洞開 實作示範擷取手機資料

▲圖11 與該手機有簡訊往來紀錄的對象列表。

而透過Tables/message資料表，可發現那些在手機上被刪除的簡訊內容，如圖12所示。

▲圖12 手機內的簡訊內容。

透過以上操作，可知iPhone在經過越獄程序後，不僅大幅提高了使用者權限，而在已刪除使用內容紀錄的情況下，仍可獲取手機內相當程度的歷史資訊，提升了鑑識人員在資料獲取上的質與量，將已遭刪除的資料與現存的資料執行比較與連結，更有利於關聯性跡證的發掘。

越獄後的系統還原

透過DFU模式，可將在越獄狀態下的iPhone還原為非越獄狀態。首先將iPhone以USB線接上電腦，並讓iPhone進入DFU模式，如圖13所示，再透過iTunes的「回復iPhone」功能，令iPhone回復為原廠設定狀態。

▲圖13 按下iTunes的〔回復iPhone〕按鈕。

經過此步驟，iPhone將回到原廠初始化的狀態，一切的資料與設定都已不復存在，此時須再透過iTunes的「回復備份」功能，如圖14所示，將執行越獄前所儲存的備份同步至iPhone，便完成還原程序。

▲圖14 使用iTunes的「回復備份」功能。

鑑識案例說明

近日毒販猖獗，毒販間除透過手機相互聯繫、分享情報外，亦與顧客透過簡訊方式聯絡交易資訊，調查多日後發現該些毒販具有固定交易場所，經相關單位布線埋伏後，發現疑似為毒販的A君，時常流連徘徊於此，遂將其請回駐地詢問調查，並在A君身上發現藏有數包古柯鹼以及一部iPhone 4手機。

惟經詢問後，A君堅稱該些毒品僅供自己吸食，並未有販售行為，而A君所使用的iPhone 4手機雖允許調查人員查看，但手機內的通訊錄、通話紀錄、備忘錄乃至簡訊均已遭刪除，使調查人員無從檢視使用資料，令人深感懷疑其手機內是否有已遭刪除的販毒相關資訊。

為了追查犯A君是否具有毒品交易情形，於是將手機交由鑑識單位進行調查，鑑識人員取得犯嫌手機後，將手機透過電腦連接上iTunes及iTool，欲先將iPhone備份以確保跡證，不料竟發現A君所使用的iPhone手機已執行過越獄程序。

將該iPhone 4所留存的資料先行備份

鑑識人員透過iTunes對A君所使用的iPhone 4進行備份以保存其所內存之資料，如圖15所示，以防止其所內存資訊因鑑識操作，或其他因素遭刪除抑或遺失。

▲圖15 iTunes立即備份功能，以新增儲存手機內資料。

透過已執行越獄的iPhone檢視檔案系統資料夾

鑑識人員將該手機連接上iTools，在介面上標示該iPhone的各項資訊，包含已執行越獄，如圖16所示，透過操作選項「文件管理」，即顯示該iPhone經越獄後所能檢視的資料夾。

▲圖16 顯示該部手機已執行越獄。

接著，透過SQLite Manager工具檢視「越獄系統/User/Library/SMS」資料夾路徑下的db檔案，如圖17?18所示，發現疑似A君於已刪除的SMS簡訊紀錄中疑似有與人交易毒品的對話內容，而該些交易對象的電話號碼亦了然於前，鑑識人員遂將該些資訊呈予調查人員，續向該些交易對象進行調查。

▲圖17 與該部手機有SMS簡訊往來之電話號碼。

▲圖18 顯示簡訊內容紀錄。

結語

透過本文中所介紹的執行備份、執行越獄程序、將iPhone回復為原廠設定等過程，可得知越獄本身對於iPhone上的使用儲存資料並不會造成異常的影響；反之，讓iPhone上使用資料消失的，其實是將iPhone由已越獄狀態回復為未越獄狀態的iTunes功能選項的「回復iPhone」動作，而經過「回復iPhone」程序後，僅能透過先前所儲存的備份資料，由iTunes功能選項的「回復備份」，將iPhone上的資料回復至當時備份的狀態。

除此之外，這裡以一情境案例來說明，透過iPhone越獄後所取得的更高權限來檢視其檔案系統，對已遭刪除的相關通訊與使用紀錄的資料進行擷取分析，確實能取得對於案件追查之有利數位跡證，以協助調查人員對於案件之推估與調查。

＜本文作者：中央警察大學資訊密碼暨建構實驗室（ICCL），民國87年12月成立，目前由王旭正教授領軍，實驗室成員共有20名，並致力於資訊安全、資料隱藏與資料快速搜尋之研究，以確保人們於網際網路世界的安全。（http://hera.im.cpu.edu.tw）＞