iOS 26은 디지털 법의학 조사자가 장치 및 백업을 분석 할 때 알아야하는 기존의 새로운 법의학 아티팩트와 업데이트를 소개합니다. 이러한 아티팩트는 사용자 활동, 시스템 이벤트, 커뮤니케이션 등에 대한 주요 통찰력을 제공하지만 운영 체제의 데이터 구조 및 유지 정책과 관련된 복잡성도 제공합니다.
iOS 26 법의학 아티팩트의
개요
iOS 18에서 iOS 26으로의 도약은 시스템 아키텍처, 사용자 경험 및 데이터 관리 및 저장 방법에 중대한 변화를 가져 왔습니다. 여기에는 개선 된 메시징 시스템, 새로운 AI 기능 및 "Liquid Glass"라는 전반적인 UX 변경이 포함됩니다. 이러한 변경 사항은 법의학 목적으로 데이터 위치, 형식 및 접근성에 영향을 미칩니다.
새롭고 업데이트 된 메시징 아티팩트
iOS 26은 복잡한 메시지 스레드 및 다양한 컨텐츠 유형을 유지하는 메시징 시스템을 향상시킵니다. 법의학 전문가가 확인했습니다.
- 메시지 전달, 읽기 상태 및 스레드 참가자에 대한 자세한 내용을 보유한 구조적 형식으로 저장된 메타 데이터 및 메시지 컨텍스트.
- 삭제 된 메시지 및 채팅 스레드의 유령 기록 또는 잔재. 여기에는 사용자가 장치에서 삭제 한 흔적의 흔적이 포함될 수 있지만 시스템 로그 또는 백업에 메타 데이터 나 잔여 데이터가 남아있을 수 있습니다.
- 메시지에 대한 유지 정책은 중요한 영향을 미칩니다. iOS 8이므로 사용자는 메시지 보존을 30 일, 1 년 또는 영원히 설정할 수 있습니다. 보존 설정 변경은 장치 및 iCloud 백업에서 메시지 본문 및 관련 메타 데이터의 유무에 영향을 미칩니다.
- 삭제 된 메시지 증거는 여전히 백업 또는 시스템 로그를 통해 존재할 수 있으므로 이전 통신의 부분 재구성이 가능합니다.
백업 아티팩트 및 도전
iOS 26은 법의학 데이터 추출을 위해 iTunes 백업 (암호화 또는 암호화되지 않은)에 크게 의존하고 있습니다.
- 암호화 된 백업은 통화 로그, Apple Health Data 및 브라우저 기록과 같은 더 많은 데이터 범주에 대한 액세스를 제공합니다.
- 암호화 비밀번호에는 크랙이 필요할 수 있지만 iOS 11 백업 비밀번호를 재설정하면 모든 설정을 재설정하면 일부 설정이 상실됩니다.
- Apple은 백업 중에 자동화 된 SQLITE 데이터베이스 진공 청소기를 구현하여 백업 데이터베이스에서 삭제 또는 잔류 데이터를 복구 할 수있는 방법에 영향을 미칩니다.
- 백업에는 문서 및 멀티미디어 파일을 공유하는 사용자 애플리케이션과 관련된 아티팩트가 포함될 수 있습니다.
시스템 및 로그 아티팩트
iOS 26의 시스템 로그 및 진단 파일은 법의학 데이터의 중요한 소스가되었습니다.
- iOS 10 이후로 소개 된 통합 로그는 이제 훨씬 포괄적이며 보안 이벤트, 인증 시도 및 사용자 상호 작용을 포함한 상세한 시스템 및 응용 프로그램 활동을 제공합니다.
- SYSDICINOSE 파일 아카이브 명령 결과 및 심층 분석을위한 시스템 데이터.
- 라이브 Syslog는 로깅이 중단 될 때까지 실시간 장치 이벤트를 캡처하여 이벤트를 상관시키는 데 유용합니다.
- 충돌 로그에는 사용자 데이터가 포함되어 있지 않지만 응용 프로그램 실행 타임 라인을 이해하고 맬웨어 활동을 감지하는 데 도움이됩니다.
AI 및 인텔리전스 기능
iOS 26은 새로운 메타 데이터 흔적과 아티팩트를 남기는 AI 구동 기능을 통합합니다.
- 메시징 및 사용자 행동 추적에서 AI 사용은 응용 프로그램 데이터베이스에 나타날 수있는 상호 작용 및 컨텍스트에 대한 추가 메타 데이터를 생성합니다.
- Apple Intelligence Frameworks 일반적인 통신 데이터 포인트를 넘어 AI 지원 활동의 흔적.
물리적 및 논리적 추출 고려 사항
Magnet Graykey 및 Verakey와 같은 법의학 데이터 추출 도구는 iOS 26을 지원하도록 업데이트되어 조사관이 최신 장치와 버전에 원활하게 액세스 할 수 있도록 업데이트되었습니다. 임계 추출 지점에는 다음이 포함됩니다.
- AFC (Apple File Connection)`/private/var/mobile/media/`사용자 멀티미디어 및 사진 앱 데이터와 같은 서비스 경로.
- 장치 정보를 제공하는 잠금 서비스 (이름, iOS 버전, 식별자).
- 앱 특정 데이터 용 앱의 공유 Â 문서 폴더.
- iTunes 백업 또는 사용자 수준 파일에 대한 AFC 액세스를 통한 논리적 추출.
보유 및 삭제의 법의학적 영향
iOS 법의학에서 중요한 과제 중 하나는 데이터 보존 설정입니다.
- 메시지 보존이 "Forever 이외의 다른 것으로 설정되면"오래된 메시지 데이터가 장치와 iCloud에서 체계적으로 제거되어 사용 가능한 법의학 증거가 줄어 듭니다.
-Ghost Records는 삭제 또는 변경된 데이터의 그림자를 나타내며 증거를 난독 화하거나 파괴하려는 시도를 가리킬 수 있습니다.
- 백업은 장치 자체의 삭제에도 불구하고 백업이 더 광범위한 역사적 데이터를 보유 할 수 있으므로 백업 가용성을 확인하는 것이 좋습니다.
카테고리 별 주요 아티팩트 요약
- 메시징 : 향상된 메시지 메타 데이터, 고스트 메시지 잔재, AI 메타 데이터.
- 백업 : 암호화/암호화되지 않은 iTunes 백업; 데이터베이스 진공 충격 영향.
- 로그 : 통합 시스템 로그, sysdiagnose 파일, 충돌 로그, 라이브 syslogs.
- 사용자 데이터 : 멀티미디어 파일, 공유 앱 문서.
- 시스템 정보 : 장치 식별자를 포함한 잠금 서비스 출력.
-AI 기능 : AI 사용의 새로운 상황에 맞는 메타 데이터.
이러한 아티팩트는 사용자 커뮤니케이션, 장치 상호 작용, 시스템 이벤트 및 형사 사례, 사이버 보안 사고 및 iOS 26 장치와 관련된 기업 문의에 대한 조사를위한 추적 경로를 제공합니다. 이러한 아티팩트를 이해하고 올바르게 추출하려면 Apple이 iOS 26에서 사용하는 진화하는 구조에 대한 업데이트 된 법의학 도구와 관심이 필요합니다.
이러한 업데이트에 대한 참조는 IOS 26 법의학 분석 기술 및 유물에 대한 광범위한 연구 및 공유 결과를 수행 한 Magnet Forensics, N1 Discovery 및 Hexordia와 같은 법의학 전문가 및 조직의 최근 기여에서 비롯됩니다.