Kriminālistikas artefakti, ko atstājuši iOS 26 atjauninājumi un dublējumi

Pārskats par iOS 26 kriminālistikas artefaktiem

Lēciens no iOS 18 līdz iOS 26 izraisīja ievērojamas izmaiņas sistēmas arhitektūrā, lietotāja pieredzē un to, kā tiek pārvaldīti un glabāti dati. Tas ietver atjaunotās ziņojumapmaiņas sistēmas, jaunas AI funkcijas un vispārējās UX izmaiņas ar nosaukumu  šķidrais stikls. Šīs izmaiņas ietekmē datu atrašanās vietas, formātu un pieejamību kriminālistikas vajadzībām.

Jauni un atjaunināti ziņojumapmaiņas artefakti

iOS 26 uzlabo ziņojumapmaiņas sistēmu, saglabājot sarežģītu ziņojumu pavedienus un dažādus satura veidus. Kriminālistikas speciālisti ir identificējuši:

- Paplašināti metadatu un ziņojumu konteksts, kas saglabāts strukturētā formātā, kurā ir sīkāka informācija par ziņojumu piegādi, lasīšanas statusu un pavedienu dalībniekiem.
- Dzēsto ziņojumu un tērzēšanas pavedienu spoku ieraksti vai paliekas. Tie var ietvert sarunu pēdas, kuras lietotāji ir izdzēsuši no savām ierīcēm, bet sistēmas žurnālos vai dublējumos joprojām var būt ilgstoši metadati vai atlikušie dati.
- Ziņojumu saglabāšanas politikai ir kritiska ietekme. Kopš iOS 8, lietotāji var iestatīt ziņojumu saglabāšanu uz 30 dienām, 1 gadu vai mūžīgi. Aizturēšanas iestatījumu mainīšana ietekmē ziņojumu ķermeņu un ar to saistīto metadatu esamību vai neesamību ierīcēs un iCloud dublējumos.
- Izdzēsti ziņojuma pierādījumi joprojām var būt dublējumos vai caur sistēmas žurnāliem, ļaujot daļēji rekonstruēt iepriekšējās komunikācijas.

rezerves artefakti un izaicinājumi

iOS 26 turpina lielā mērā paļauties uz iTunes dublējumiem (vai nu šifrēti, vai nešifrēti) kriminālistikas datu ieguvei:

- Šifrēti dublējumi piedāvā piekļuvi vairākām datu kategorijām, piemēram, zvanu žurnāliem, Apple Health datiem un pārlūka vēsturei.
- Šifrēšanas parolēm var būt nepieciešama plaisāšana, lai gan iOS 11 rezerves paroles atiestatīšana ir iespējama, atiestatot visu iestatījumu darbību, kas zaudē dažus iestatījumus.
- Apple dublēšanas laikā ir ieviesis automatizētu SQLite datu bāzi putekļsūcēju, kas ietekmē to, kā izdzēstus vai atlikušos datus var atgūt no rezerves datu bāzēm.
- Dublējumi var ietvert artefaktus, kas saistīti ar lietotāju lietojumprogrammām, kas koplieto dokumentus un multimediju failus.

Sistēma un žurnāla artefakti

Sistēma žurnālus un diagnostikas faili iOS 26 ir kļuvuši par būtiskiem kriminālistikas datu avotiem:

- Vienotie žurnāli, kas ieviesti kopš iOS 10, tagad ir vēl visaptverošāki, nodrošinot detalizētas sistēmas un lietojumprogrammu darbības, ieskaitot drošības notikumus, autentifikācijas mēģinājumus un lietotāju mijiedarbību.
- SysDiagnose failu arhīva komandu rezultāti un sistēmas dati padziļinātai analīzei.
- Live Syslog uztver reālā laika ierīču notikumus, līdz reģistrēšana nav pārtraukta, kas ir noderīga notikumu korelēšanai.
- Avārijas žurnālos var nebūt lietotāja dati, bet tas palīdz izprast lietojumprogrammu izpildes grafikus un noteikt ļaunprātīgas programmatūras darbības.

AI un intelekta funkcijas

iOS 26 ietver AI vadītas funkcijas, kas atstāj jaunas metadatu pēdas un artefaktus:

- AI lietošana ziņojumapmaiņas un lietotāju uzvedības izsekošanā rada papildu metadatus par mijiedarbību un kontekstu, kas var parādīties lietojumprogrammu datu bāzēs.
- Apple Intelligence Frameworks glabā AI Ai-atbalstīto darbību pēdas, kas pārsniedz tipiskos komunikācijas datu punktus.

Fizisko un loģisko ekstrakcijas apsvērumi

Kriminālistikas datu ieguves rīki, piemēram, Magnet Graykey un Verakey, ir atjaunināti, lai atbalstītu iOS 26, nodrošinot, ka izmeklētāji var vienmērīgi piekļūt jaunākajām ierīcēm un versijām. Kritiskie ekstrakcijas punkti ietver:

- AFC (Apple File Connection) pakalpojumu ceļi, piemēram, `/privāts/var/mobilais/multivide/`, kas satur lietotņu lietotāju multimediju un fotoattēlu datus.
- Lockdown pakalpojums, kas sniedz informāciju par ierīci (nosaukums, iOS versija, identifikatori).
- koplietotās lietotņu dokumentu mapes, kas saistītas ar lietotnēm specifiskiem datiem.
- Loģiskas ekstrakcijas, izmantojot iTunes dublējumus vai AFC piekļuvi lietotāja līmeņa failiem.

Saglabāšanas un dzēšanas kriminālistika

Viens no nozīmīgiem izaicinājumiem iOS kriminālistikā ir datu saglabāšanas iestatījumi:

- Kad ziņojuma saglabāšana ir iestatīta uz visu, kas nav uz visiem laikiem, vecāki ziņojuma dati sistemātiski tiek noņemti gan no ierīces, gan ar iCloud, samazinot pieejamos kriminālistikas pierādījumus.
- Spoku ieraksti norāda uz izdzēsto vai mainīto datu ēnu un var norādīt uz mēģinājumiem apmānīt vai iznīcināt pierādījumus.
- Izmeklētājiem ieteicams pārbaudīt rezerves pieejamību, jo dublējumiem var būt plašāki vēsturiskie dati, neskatoties uz pašas ierīces svītrojumiem.

Galveno artefaktu kopsavilkums pēc kategorijas

- ziņojumapmaiņa: uzlaboti ziņojuma metadati, spoku ziņojuma paliekas, AI metadati.
- dublējumi: šifrēti/nešifrēti iTunes dublējumi; Datu bāzes vakuuma ietekme.
- žurnāli: Vienotas sistēmas žurnāli, sysdiagnose faili, avāriju žurnāli, tiešraides syslogs.
- Lietotāja dati: multimediju faili, koplietoti lietotņu dokumenti.
- Sistēmas informācija: Lockdown pakalpojumu izejas, ieskaitot ierīces identifikatorus.
- AI funkcijas: jauni kontekstuālie metadati no AI lietošanas.

Šie artefakti atklāj lietotāju komunikāciju, ierīču mijiedarbību, sistēmas notikumus un nodrošina izsekošanas ceļus izmeklēšanai, kas aptver krimināllietas, kiberdrošības gadījumus un korporatīvo izmeklēšanu, kas saistīta ar iOS 26 ierīcēm. Izpratne un pareiza šo artefaktu iegūšana ir jāatjaunina kriminālistikas rīki un uzmanība mainīgajai struktūrai, kuru Apple izmanto iOS 26.