Trainingen uitgelicht

Internetonderzoek IRN-netwerk
2 of 3 dagen
Speciaal voor gebruikers van het IRN-netwerk een gecertificeerde 2 of 3-daagse training voor Internetonderzoekersarrow

Malware, first response
4 dagen
Malware detecteren, analyseren en verwijderen op systemen en netwerken met gebruikmaking van eigen onderzoeksomgevingarrow

Linux Forensics
3 dagen
Digitaal onderzoek op Windows en Linux systemen met eigen ontwikkelde forensische Ubuntu. arrow

Trainingslocaties
Wij maken gebruik van uitstekende trainingsfaciliteiten door het hele land. Zo verzorgen wij trainingen in onder andere Den Haag, Utrecht, Diemen, Zwolle en Nijmegen.
Ook verzorgen wij graag trainingen binnen uw eigen afdeling.
Deelnemersportal



PostHeaderIcon iPhone analyse

Op onderstaande wijze wordt getoond hoe back-up data van een iphone ontrokken en geanalyseerd kan worden.
Gezien de waardevolle gegevens die aangetroffen wordt in deze data zal deze als een belangrijke bron kunnen dienen.

stap 1 : Controleer het type beveiliging dat is ingesteld
De meest voorkomende intelling is een simkaart toegangscode (PIN1)
De PIN1-code kan zonder hulpmiddelen gepasseerd worden
Bij andere vormen van beveiliging helpen wij graag (informeer naar de opties)
stap 2: Schakel het toestel uit tegen verwijderen van data op afstand
stap 3: Verwijder de sim-kaart met behulp van een iPhone sleuteltje of een opengevouwen paperclip

Vervolg de volgende acties op een onderzoekssysteem. Beschrijf de eerstvolgende handeling in het onderzoeksrapport aangezien er eenmalig contact met het toestel wordt gemaakt.

Zet het toestel zonder sim-kaart aan en sluit deze aan op een systeem met iTunes.
Wanneer het toestel eenmaal aangemeld is zal de naam van het toestel in iTunes verschijnen.
 Selecteer het toestel en kies (rechtermuisknop) voor de optie 'Back Up'.

create-backup-iphone-partial

Afhankelijk van de hoeveelheid data op het toestel zal dit enkele minuten tot een half uur duren.
De locatie waar iTunes de backupbestanden heen schrijft verschilt per Windows versie.
In Windows 7 is dat Users\gebruikersnaam\AppData\Roaming\Apple Computer\MobileSync\Backup
Let er op dat 'alle bestanden weergeven' geactiveerd is in Windows.
De Backup map bevat een groot aantal bestanden. De gehele map kan (als zip-bestand) gekopieerd worden of direct geopend worden in WISE.


backup-contents-partial

Kies in WISE voor 'Mobile Devices' en vervolgens voor 'Browse for MobileSync'.
Selecteer de map met de gemaakte backupbestanden.

tn_wise-navigate-to-syncfolder

Nu kan er op verschillende manieren door de bestanden gebladerd worden. Door te kiezen voor het tabblad 'images' wordt het mogelijk te scrollen door alle foto's. Deze worden in de preview-pane linksboven getoond.

tn_iphone-analysis-photos

Kies voor het tabblad 'Sqlite3 Databases' en in het benedenvenster voor 'Database View'.
In de databases vinden we gegevens zoals SMS-berichten, WhatsApp-berichten, Belgeschiedenis, Internet geschiedenis, Agenda-items, Geografische gegevens, etc. etc.

In dit voorbeeld gaan we de geografische data van het toestel in kaart brengen.
Selecteer hiervoor de database waarbij in het linkervenster de tabellen 'Cell' en 'CellLocation' zichtbaar worden.
Door te kiezen voor 'Data View to File' en vervolgens 'Google Earth (*.kml)' te selecteren worden de geografische coördinaten naar een kml-bestand geschreven.

tn_iphone-analysis-geo-export-kml

Wanneer je alle tabellen zou exporteren en zou openen in Google Earth kan zal een onwerkbare hoeveelheid locataties weergegeven worden.

tn_earth-alldata

In onderstaand voorbeeld gaan daarom filteren op een specifieke datum.
Kies een tabel met '*Harvest' in de naam. Deze geografische gegevens worden door het toestel verzameld.
Klik met de rechtermuisknop op de titel van de kolom 'Timestamp' en kies voor 'Filter Editor'.

tn_iphone-analysis-geo-filter

Stel nu het gewenste filter in.
Kies daarna voor 'Data View to File' en selecteer 'Google Earth (*.kml)'.
Doe hetzelfde voor de overige '*Harvest' -tabellen.

tn_iphone-analysis-geo-filter-setdate

Open vervolgens deze .kml bestanden in Google Earth (of andere KML ondersteunende applicatie).
De ballonnen op de kaart geven nu een goed beeld van de bewegingen van de gebruiker (toestel).

tn_iphone-analysis-geo-in-earth

De nauwkeurigheid per type tabel verschilt. Met sommige gegevens kan zelfs de positie op de weg en de route dat het toestel afgelegd heeft terug worden gevonden.

tn_iphone-analysis-geo-in-earth-detail

Maar let op:
De tabellen dienen correct geinterpreteerd te worden om verkeerde aannames te voorkomen. Sommige geografische gegevens worden namelijk naar het toestel gepushed en andere worden door het toestel zelf verzameld (*Harvest tabellen).
De iPhone gebruikt WIFI- GPS- en GSM-gegevens voor plaatsbepalingen. Afhankelijk van de instellingen op het toestel en het aantal gebruikte applicaties dat gebruik maakt van plaatsbepaling kunnen de bewegingen van de gebruiker (toestel) in sommige gevallen tot in detail (per minuut tot op de meter) weergegeven worden.

De beschreven analyse kan ook uitgevoerd worden op een forensische image van een computer waar de iPhone ooit aan gekoppeld is geweest. iTunes schrijft namelijk automatisch een backup (MobileSync) naar het systeem.

Met een iPhone kunnen dus ook alle WiFi-routers in kaart gebracht worden. De MAC-adressen met exacte locaties kunnen naar het toestel geladen worden.

In deze beschrijving is gebruik gemaakt van Windows 7, iTunes 10.2.1, verschillende iPhones3/4 met iOS 4.1 t/m 4.3 en WISE Forensic Toolkit 2.63.


Met vriendelijke groet, Pepijn Janssen (DigitaleExpertise)


 

Copyright © 2010 - DIEX