Az iOS 26 számos új kriminalisztikai tárgyat és frissítést mutat be a meglévők számára, amelyeket a digitális kriminalisztikai nyomozóknak tisztában kell lenniük az eszközök és a biztonsági mentések elemzésekor. Ezek a tárgyak kulcsfontosságú betekintést nyújtanak a felhasználói tevékenységekbe, a rendszeres eseményekbe, a kommunikációba és egyebekbe, de az operációs rendszer adatszerkezeteivel és a megtartási politikákkal kapcsolatos összetettségekkel is rendelkeznek.
Az iOS 26 kriminalisztikai tárgyak áttekintése
Az iOS 18 -ról az iOS 26 -ra való ugrás jelentős változásokat hozott a rendszer architektúrájában, a felhasználói élményben, valamint az adatok kezelésének és tárolásának módjában. Ez magában foglalja a megújult üzenetküldő rendszereket, az új AI -funkciókat és az általános UX -változásokat, amelyek  Liquid Glass nevűek. Ezek a változások az adatokat, a formátumot és a hozzáférhetőséget kriminalisztikai célokra.
Új és frissített üzenetküldő tárgyak
Az iOS 26 javítja az üzenetküldő rendszert, megtartja az összetett üzenetszálakat és a különféle tartalomtípusokat. A kriminalisztikai szakemberek azonosították:
- Bővített metaadatok és üzenetek kontextusa, strukturált formátumokban tárolva, amelyek további részleteket tartalmaznak az üzenetek kézbesítéséről, az olvasási állapotról és a szálak résztvevőiről.
- A törölt üzenetek és csevegőszálak szellemrekordjai vagy maradványai. Ide tartozhatnak a beszélgetések nyomai, amelyeket a felhasználók töröltek az eszközükről, de a rendszernaplókban vagy a biztonsági másolatokban továbbra is tartós metaadatok vagy maradék adatok vannak.
- Az üzenetek megőrzési politikájának kritikus hatása van. Az iOS 8 óta a felhasználók 30 napra, 1 évre vagy örökké beállíthatják az üzenetmegtartást. A visszatartási beállítások megváltoztatása befolyásolja az üzenettestek és a kapcsolódó metaadatok jelenlétét vagy hiányát az eszközökön és az iCloud biztonsági másolatokban.
- A törölt üzenet bizonyítékok továbbra is jelen lehetnek a biztonsági másolatokban vagy a rendszernaplókon keresztül, lehetővé téve a korábbi kommunikáció részleges rekonstrukcióját.
Backup tárgyak és kihívások
Az iOS 26 továbbra is erősen támaszkodik az iTunes biztonsági másolatokra (titkosítva vagy titkosítva) a kriminalisztikai adatok kinyerésére:
- A titkosított biztonsági másolatok hozzáférést kínálnak több adatkategóriához, például a hívásnaplókhoz, az Apple Health Data és a böngésző előzményeihez.
- A titkosítási jelszavakra szükség lehet repedésre, bár az iOS 11 visszaállítása a biztonsági mentési jelszó visszaállítása az összes beállítási művelettel, amely néhány beállítást elveszít.
- Az Apple az automatizált SQLite adatbázis porszívózását hajtotta végre a biztonsági mentés során, ami befolyásolja, hogy a törlés vagy a maradék adatok hogyan lehet helyreállítani a biztonsági mentési adatbázisokból.
- A biztonsági másolatok tartalmazhatnak olyan felhasználói alkalmazásokkal kapcsolatos tárgyakat, amelyek megosztják a dokumentumokat és a multimédia fájlokat.
Rendszer és napló tárgyak
Az iOS 26 -ban lévő rendszernaplók és diagnosztikai fájlok a kriminalisztikai adatok létfontosságú forrásaivá váltak:
- Az IOS 10 óta bevezetett egységes naplók ma még átfogóbbak, részletes rendszer- és alkalmazási tevékenységeket biztosítanak, ideértve a biztonsági eseményeket, a hitelesítési kísérleteket és a felhasználói interakciókat.
- SySdiagnose fájlok Archívum parancsának eredményei és rendszeradatok a mélyreható elemzéshez.
- Az élő syslog a valós idejű eszköz eseményeket rögzíti, amíg a naplózás megszakad, hasznos az események korrelálásához.
- Az ütközési naplók nem tartalmazhatnak felhasználói adatokat, hanem segítenek megérteni az alkalmazás végrehajtási ütemterveit, és felismerik a rosszindulatú programok tevékenységét.
AI és intelligencia jellemzői
Az iOS 26 magában foglalja az AI-vezérelt funkciókat, amelyek új metaadat-nyomokat és tárgyakat hagynak:
- Az AI használata az üzenetküldésben és a felhasználói viselkedéskövetésben további metaadatokat generál az interakciókról és a kontextusról, amelyek megjelenhetnek az alkalmazás adatbázisokban.
- Az Apple Intelligence keretrendszerek tárolják az AI-asszisztált tevékenységek nyomait a tipikus kommunikációs adatpontokon túl.
Fizikai és logikai extrakciós megfontolások
A kriminalisztikai adatkitermelő eszközök, mint például a Magnet Graykey és a Verakey, frissítették az iOS 26 támogatását, biztosítva, hogy a nyomozók zökkenőmentesen elérhessék a legújabb eszközöket és verziókat. A kritikus extrakciós pontok a következők:
- AFC (Apple File Connection) szolgáltatási útvonalak, mint például a `/privát/var/mobil/média/` felhasználói multimédiás és fotókalkalmazások adatait.
- Lockdown szolgáltatás, amely az eszközinformációkat biztosítja (név, iOS verzió, azonosítók).
- Megosztott  APP-specifikus adatok alkalmazásainak dokumentumai.
- Logikai kivonások az iTunes biztonsági másolaton keresztül vagy AFC hozzáférés a felhasználói szintű fájlokhoz.
A megtartás és a törlés kriminalisztikai következményei
Az iOS kriminalisztika egyik jelentős kihívása az adatmegőrzési beállítások:
- Ha az üzenetmegtakarítást bármi másra állítják, kivéve az  A régebbi üzenetadatokat szisztematikusan eltávolítják mind az eszközről, mind az iCloudról, csökkentve a rendelkezésre álló kriminalisztikai bizonyítékokat.
- A Ghost Records a törölt vagy megváltozott adatok árnyékát jelzi, és rámutathat a bizonyítékok eltakarására vagy megsemmisítésére.
- A nyomozóknak javasoljuk, hogy ellenőrizzék a biztonsági mentés rendelkezésre állását, mivel a biztonsági másolatok kiterjedtebb történelmi adatokat tartalmazhatnak, annak ellenére, hogy maga az eszköz törli.
A kulcsfontosságú tárgyak összefoglalása kategóriánként
- Üzenetek: továbbfejlesztett üzenet metaadatok, kísérteties üzenetmaradványok, AI metaadatok.
- Biztonsági másolatok: Titkosított/titkosított iTunes biztonsági mentések; Adatbázis porszívózási hatások.
- Naplók: Egységes rendszernaplók, sysdiagnózus fájlok, ütközési naplók, élő syslogs.
- Felhasználói adatok: Multimédia fájlok, megosztott alkalmazásdokumentumok.
- Rendszerinformáció: Lockdown szolgáltatás kimenetek, beleértve az eszköz azonosítókat.
- AI jellemzői: Új kontextuális metaadatok az AI használatából.
Ezek a tárgyak feltárják a felhasználói kommunikációt, az eszköz interakciókat, a rendszeres eseményeket, és nyomkövetési útvonalakat biztosítanak a büntetőügyek, a kiberbiztonsági események és az iOS 26 eszközöket érintő vállalati vizsgálatokra vonatkozó vizsgálatokhoz. Ezeknek a tárgyaknak a megértése és a megfelelő kinyerése frissített kriminalisztikai eszközöket és figyelmet igényel az Apple által alkalmazott, az iOS 26 -ban alkalmazott változó struktúrára.
Az ezekre a frissítésekre való hivatkozások a kriminalisztikai szakértők és szervezetek, például a mágneses kriminalisztika, az N1 Discovery és a Hexordia közelmúltbeli hozzájárulásaiból származnak, akik kiterjedt kutatást végeztek, és megosztott megállapításokat végeztek az iOS 26 kriminalisztikai elemzési technikákról és tárgyakról.