苹果保密柜文件路径（BCS电子取证分享直播）

苹果保密柜文件路径（BCS电子取证分享直播）未加密备份中，数据是基于每个iOS设备独有的硬件专用密钥来加密的。这种密钥是永久的，即使完全恢复iOS设备的出厂设置它也是不变的。区别在于这两种备份数据的加密方式：2、加密备份无法解密3、备份数据不全面4、无法定向选择备份的App

北京网络安全大会(BCS)电子取证系列直播分享活动持续进行，在第五期的课程中，奇安信取证案件组组长青山带领众多电子取证专业人员聚焦iOS取证，走近iTunes备份一探究竟！

本期概要：

• iTunes备份局限性
• 加密/不加密备份的区别
• 加密备份的解决方法
• 备份数据缺失

一、iTunes备份局限性

备份提取是目前国内大多数取证工具对iOS取证时所采用的方式，但这种提取方式有如下局限性：

1、空间不足时备份不成功

2、加密备份无法解密

3、备份数据不全面

4、无法定向选择备份的App

二、加密/不加密备份的区别

区别在于这两种备份数据的加密方式：

未加密备份中，数据是基于每个iOS设备独有的硬件专用密钥来加密的。这种密钥是永久的，即使完全恢复iOS设备的出厂设置它也是不变的。

加密备份中的大部分数据仅使用机主设置的备份密码进行加密。

因此，未加密备份只能在原设备上被完全恢复，假如要往一部新的苹果手机上恢复的话，就会有些数据无法被恢复。如果想把备份的数据完整的恢复到新iOS设备上，建议在备份前设置备份密码。

虽然加密备份比不加密备份可以解析出更多的数据，但最完整的数据提取方式还要数逻辑镜像提取。

三、加密备份的解决方法

备份密码破解

对于设置了备份密码的苹果手机、电脑上发现的苹果加密备份，都需要进行密码破解。但iOS 10.1之后，即使借助GPU破解，每秒也只能尝试100多个密码，也就是说爆破一个简单的6位字符的密码可能要花1个月的时间，稍微复杂点的密码或许要花上1年——暴力破解不可行。

备份密码重置

对于iOS 11之后的苹果设备的备份密码是可以通过重置所有设置的方式移除的（iOS11之前的版本不支持），但也会相应的抹掉一些重要数据：Wi-Fi密码、备份密码、网站历史记录、健康数据等等。

最糟糕的是，重置密码这种方式会篡改检材原始数据，这样一来就破坏了证据的原始性，并且这种方式对之前生成的加密备份仍然束手无策。

据青山老师介绍，2020年3月5日，某公安客户就碰到了棘手案例（iPhone11/iOS13.3.1/备份加密）：

通过盘古石手机取证解决方案，3分钟内即拿到复杂的明文备份密码。

通过这种方法，因重置备份密码方式造成的丢失数据、破坏证据有效性的问题就迎刃而解了，其关键点是还可以借助这个明文密码对机主历年来所有的加密备份进一步解析、取证。

千万不要小看这些之前做的iTunes备份数据，这里面往往会存在一些手机机身已经删除且又无法恢复的数据！

四、备份数据缺失

用备份方式提取iOS设备数据，往往还有一些数据无法提取，比如机身自带的邮件数据、某些特殊APP数据等，且在提取数据时也无法对应进行选择，只能对数据进行全部备份。为此，盘古石提出了全盘逻辑镜像和快速提权提取的解决方案，目前已支持到最新的iOS设备和iOS版本。

最后，青山老师通过一个iTunes备份密码提取的实操演示，给大家展示了盘古石的完美解决方案，直播在大家的点赞中落下帷幕。

上图是盘古石对iOS设备的产品和服务支持列表，可以看出跟借助Checkm8/Checkra1n进行越狱后镜像提取的方式是有明显区别的：

• 后者只支持iOS12.3以上操作系统，盘古石支持iOS7.X-iOS13.3.1；
• 后者只支持iPhone5S-iPhone X，从2018年iPhone XR开始的一系列新型手机（上图红框内机型）都做不到支持，盘古石可支持到最新iPhone设备、最新iOS系统；
• 盘古石支持能力不仅仅局限在逻辑镜像提取，还可以做备份密码提取、定向选择App提取。

---

“聚焦iOS取证”系列更多精彩内容

☞聚焦iOS取证：你究竟去过哪？

☞聚焦iOS取证：越过屏锁找到你

☞聚焦iOS取证：看不到的痕迹（日志分析）

☞聚焦iOS取证：解开你的钥匙串