Home Arrow Icon Knowledge base Arrow Icon Global Arrow Icon Судебные артефакты, оставленные iOS 26 обновлениями и резервными копиями


Судебные артефакты, оставленные iOS 26 обновлениями и резервными копиями


iOS 26 представляет несколько новых судебных артефактов и обновлений существующих, о которых должны знать цифровые судебные следователи при анализе устройств и резервных копий. Эти артефакты дают ключевую информацию о активности пользователей, системных событиях, коммуникациях и многом другом, но также и в том числе сложности, связанные со структурами данных и политиками удержания операционной системы.

Обзор iOS 26 судебных артефактов

Прыжок от iOS 18 на iOS 26 принес значительные изменения в архитектуре системы, пользовательском опыте и то, как данные управляются и хранятся. Это включает в себя обновленные системы обмена сообщениями, новые функции искусственного интеллекта и общее изменение UX с именем жидкого стекла. Эти изменения влияют на местоположения, формат и доступность для судебных целей.

новые и обновленные артефакты обмена сообщениями

iOS 26 улучшает систему обмена сообщениями, сохраняя сложные потоки сообщений и различные типы контента. Специалисты по криминалистике определили:

- Расширенные метаданные и контекст сообщений, хранящийся в структурированных форматах, которые содержат более подробную информацию о доставке сообщений, статусе чтения и участниках потока.
- Записи призраков или остатки удаленных сообщений и потоков чата. Они могут включать следы разговоров, которые пользователи удалили из своих устройств, но все еще могут иметь затянутые метаданные или остаточные данные в журналах систем или резервных копиях.
- Политики удержания в сообщениях имеют критический эффект. Со времен iOS 8 пользователи могут установить удержание сообщений на 30 дней, 1 год или навсегда. Изменение настроек удержания влияет на наличие или отсутствие тел сообщений и связанных метаданных на устройствах и в резервных копиях iCloud.
- Удаленные доказательства сообщения все еще могут присутствовать в резервных копиях или с помощью системных журналов, что позволяет частичной реконструкции предыдущих сообщений.

резервные артефакты и проблемы

iOS 26 продолжает в значительной степени полагаться на резервные копии iTunes (либо зашифрованные, либо незашифрованные) для извлечения судебных данных:

- Зашифрованные резервные копии предлагают доступ к дополнительным категориям данных, таким как журналы вызовов, данные Apple Health и история браузеров.
- Пароли шифрования могут потребовать трещины, хотя, поскольку iOS 11 сброс пароля резервного копирования возможна с действием сброса всех настроек, которое утрачает некоторые настройки.
- Apple внедрила автоматическое вакуумирование базы данных SQLite во время резервного копирования, что влияет на то, как удаленные или остаточные данные могут быть восстановлены из баз данных резервного копирования.
- Резервные копии могут включать артефакты, связанные с пользовательскими приложениями, которые делятся документами и мультимедийными файлами.

Система и артефакты журнала

Системные журналы и диагностические файлы в iOS 26 стали жизненно важными источниками судебных данных:

- Унифицированные журналы, представленные со времен iOS 10, теперь являются еще более полными, предоставляя подробную систему и прикладную деятельность, включая события безопасности, попытки аутентификации и взаимодействие с пользователями.
- SysDiAgnose Files Archive Archive Результаты и системы системных данных для углубленного анализа.
- Живой системный журнал захватывает события устройств в реальном времени, пока ведение ведения ведения ведения ведения ведения ведения ведения перерыва, полезно для корреляции событий.
- Журналы сбоев могут не содержать пользовательских данных, но помогать понять временные рамки выполнения приложений и обнаружить активность вредоносных программ.

AI и функции интеллекта

iOS 26 включает в себя функции, управляемые AI, которые оставляют новые следы и артефакты метаданных:

- Использование ИИ в обмене сообщениями и отслеживанием поведения пользователей генерирует дополнительные метаданные о взаимодействиях и контексте, которые могут отображаться в базах данных приложений.
- Apple Intelligence Frameworks хранят следы A-A-A-Advisted Entacts за пределами типичных точек передачи данных.

физические и логические соображения извлечения

Криминалистические инструменты извлечения данных, такие как Magnet Graykey и Verakey, были обновлены, чтобы поддержать iOS 26, что обеспечивает плавно следователи с исследователями и версиями. Критические точки извлечения включают в себя:

- AFC (Apple File Connection Connection) Службы, такие как `/private/var/mobile/media/` содержание данных приложений для мультимедиа и фотографий пользователя.
- Служба блокировки предоставления информации о устройстве (имя, версия iOS, идентификаторы).
- Общие папки документов приложений для данных для конкретных приложений.
- Логические извлечения через резервное копирование iTunes или доступ к AFC к файлам на уровне пользователя.

Судебные последствия для удержания и удаления

Одной из значительной проблемы в криминалистике iOS являются настройки хранения данных:

- Когда удержание сообщений устанавливается на что -то, кроме «навсегда», данные о более старых сообщениях систематически удаляются как с устройства, так и с iCloud, что сокращает доступные судебные данные.
- Записи призраков указывают тень удаленных или измененных данных и могут указывать на попытки запутать или уничтожить доказательства.
- Следователям рекомендуется проверить доступность резервного копирования, так как резервные копии могут хранить более обширные исторические данные, несмотря на удаление самого устройства.

Сводка ключевых артефактов по категории

- Обмен сообщениями: расширенные метаданные сообщения, остатки призрачного сообщения, метаданные ИИ.
- Резервные копии: зашифрованные/незашифрованные резервные копии iTunes; Вакуумные воздействия базы данных.
- Журналы: унифицированные системные журналы, файлы sysdiAgnose, журналы сбоев, живые системы.
- Пользовательские данные: мультимедийные файлы, документы общего приложения.
- Информация о системе: выходы службы блокировки, включая идентификаторы устройств.
- Особенности ИИ: новые контекстуальные метаданные от использования ИИ.

Эти артефакты показывают пользовательские коммуникации, взаимодействие с устройствами, системные события и обеспечивают пути отслеживания для расследований, охватывающих уголовные дела, инциденты кибербезопасности и корпоративные запросы, включающие устройства iOS 26. Понимание и правильное извлечение этих артефактов требует обновленных судебных инструментов и внимания к развивающейся структуре, которую Apple использует в iOS 26.

Ссылки на эти обновления поступают из недавних вкладов экспертов и организаций, таких как магнитная криминалистика, N1 Discovery и Hexordia, которые провели обширные исследования и общие результаты по методам и артефактам судебного анализа iOS 26.