Teismo medicinos artefaktai, kuriuos paliko „iOS 26“ atnaujinimai ir atsarginės kopijos

„iOS 26“ teismo medicinos artefaktų apžvalga

Šuolis iš „iOS 18“ į „iOS 26“ sukėlė reikšmingų sistemos architektūros pokyčių, vartotojo patirties ir to, kaip duomenys yra tvarkomi ir saugomi. Tai apima atnaujintas pranešimų sistemas, naujas AI ypatybes ir bendrą UX pakeitimą, pavadintą „Skystas stiklas“. Šie pakeitimai paveikia duomenų vietas, formatą ir prieinamumą teismo medicinos tikslais.

Nauji ir atnaujinti žinučių siuntimo artefaktai

„iOS 26“ sustiprina pranešimų sistemą, išlaikant sudėtingas pranešimų gijas ir įvairius turinio tipus. Teismo medicinos specialistai nustatė:

- Išplėsti metaduomenys ir pranešimų kontekstas, saugomas struktūrizuotuose formatuose, kuriame yra daugiau informacijos apie pranešimų pristatymą, skaitymo būseną ir gijų dalyvius.
- Ištrynusių pranešimų ir pokalbių gijų vaiduoklių įrašai ar likučiai. Tai gali apimti pokalbių pėdsakus, kuriuos vartotojai ištrynė iš savo įrenginių, tačiau sistemos žurnaluose ar atsarginėse kopijose vis tiek gali būti lieknėjantys metaduomenys arba likutiniai duomenys.
- Pranešimų išlaikymo politika turi kritinį poveikį. Nuo „iOS 8“ vartotojai gali nustatyti pranešimo išsaugojimą iki 30 dienų, 1 metų ar amžinai. Pasikeitus sulaikymo nustatymams, tai daro įtaką pranešimų korpusų ir su jais susijusių metaduomenų buvimui ar nebuvimui įrenginiams ir „iCloud“ atsarginėms kopijoms.
- Ištrinti pranešimų įrodymai vis dar gali būti atsarginėse arba per sistemos žurnalus, leidžiančius iš dalies rekonstruoti ankstesnius ryšius.

Atsarginiai artefaktai ir iššūkiai

„iOS 26“ ir toliau labai priklauso nuo „iTunes“ atsarginių kopijų (užšifruotų arba neužkrėstų), kad būtų galima gauti teismo ekspertizės duomenis:

- Užšifruotos atsarginės kopijos suteikia prieigą prie daugiau duomenų kategorijų, tokių kaip skambučių žurnalai, „Apple Health Data“ ir naršyklės istorija.
- Šifravimo slaptažodžiams gali prireikti įtrūkimų, nors kadangi „iOS 11“ iš naujo nustato atsarginį slaptažodį, naudojant „Atstatykite visus nustatymų veiksmą“, kuris praranda kai kuriuos nustatymus.
- „Apple“ įdiegė automatizuotą „SQLite“ duomenų bazės siurbimą atsarginės kopijos metu, o tai daro įtaką ištrynusiems ar likutiniams duomenims iš atsarginių kopijų duomenų bazių.
- Atsarginės kopijos gali apimti artefaktus, susijusius su vartotojo programomis, kurios dalijasi dokumentais ir daugialypės terpės failais.

Sistema ir žurnalo artefaktai

Sistemos žurnalai ir diagnostiniai failai „iOS 26“ tapo gyvybiškai svarbiais teismo medicinos duomenų šaltiniais:

- Įvedami vieningi žurnalai nuo tada, kai „iOS 10“ dabar yra dar išsamesni, teikia išsamią sistemos ir programų veiklą, įskaitant saugos įvykius, bandymus autentifikuoti ir vartotojų sąveiką.
- „SysDiagnose“ failų archyvų komandos rezultatai ir sistemos duomenys, skirti išsamios analizės.
- „Live Syslog“ fiksuoja realaus laiko įrenginių įvykius, kol nutraukiamas registravimas, naudingas koreliuojant įvykius.
- „Crash“ žurnaluose gali būti vartotojo duomenys, tačiau padės suprasti programų vykdymo tvarkaraščius ir aptikti kenkėjiškų programų veiklą.

AI ir žvalgybos funkcijos

„iOS 26“ apima AI pagrįstas funkcijas, kurios palieka naujus metaduomenų pėdsakus ir artefaktus:

- AI naudojimas pranešimų siuntime ir vartotojo elgsenos stebėjimas sukuria papildomus sąveikos ir konteksto metaduomenis, kurie gali pasirodyti programų duomenų bazėse.
- „Apple Intelligence Frameworks“ saugo AI-pagalbinių veiklų pėdsakus, viršijančius tipinius ryšio duomenų taškus.

fiziniai ir loginiai ištraukimo aspektai

Teismo medicinos duomenų gavybos įrankiai, tokie kaip „Magnet Graey“ ir „Verakey“, buvo atnaujinti palaikant „iOS 26“, užtikrinant, kad tyrėjai galėtų sklandžiai pasiekti naujausius įrenginius ir versijas. Kritiniai ištraukimo taškai apima:

- AFC („Apple File Connection“) paslaugų keliai, tokie kaip `/Private/Var/Mobile/Media/` su vartotojo multimedija ir nuotraukų programų duomenimis.
- „Lockdown“ paslauga teikia įrenginio informaciją (pavadinimas, „iOS“ versija, identifikatoriai).
- Bendrinti dokumentų programų aplankai, skirti konkrečioms programoms.
- loginiai ištraukos per „iTunes“ atsargines kopijas arba AFC prieigą prie vartotojo lygio failų.

teismo ekspertizės pasekmės ir ištrynimas

Vienas reikšmingas „iOS“ kriminalistikos iššūkis yra duomenų saugojimo nustatymai:

- Kai pranešimo išsaugojimas nustatomas ne kas kita, nei amžiams, senesni pranešimų duomenys sistemingai pašalinami tiek iš įrenginio, tiek iš „iCloud“, sumažinant turimus teismo medicinos įrodymus.
- Vaiduoklių įrašai rodo ištrintų ar pakeistų duomenų šešėlį ir gali parodyti bandymus užmaskuoti ar sunaikinti įrodymus.
.

Pagrindinių artefaktų suvestinė pagal kategoriją

- Pranešimų siuntimas: patobulinti pranešimų metaduomenys, vaiduokliškos žinutės liekanos, AI metaduomenys.
- Atsarginės kopijos: užšifruotos/nešifruotos „iTunes“ atsarginės kopijos; Duomenų bazės siurbimo poveikis.
- Žurnalai: vieningi sistemos žurnalai, sysdiagnose failai, katastrofų žurnalai, tiesioginiai syslogs.
- Vartotojo duomenys: daugialypės terpės failai, bendri programos dokumentai.
- Sistemos informacija: „Lockdown“ paslaugos išėjimai, įskaitant įrenginio identifikatorius.
- PG funkcijos: nauji kontekstiniai metaduomenys iš AI naudojimo.

Šie artefaktai atskleidžia vartotojų ryšius, įrenginių sąveiką, sistemos įvykius ir pateikia sekimo būdus tyrimams, apimantiems baudžiamąsias bylas, kibernetinio saugumo incidentus ir įmonių užklausas, kuriose dalyvauja „iOS 26“ įrenginiai. Norint suprasti ir tinkamai išgauti šiuos artefaktus, reikia atnaujinti teismo medicinos įrankius ir atkreipti dėmesį į besikeičiančią „Apple“, naudojamų „iOS 26“, „Apple“.