Home Arrow Icon Knowledge base Arrow Icon Global Arrow Icon Az iOS 26 frissítések és biztonsági másolatok által hagyott kriminalisztikai tárgyak


Az iOS 26 frissítések és biztonsági másolatok által hagyott kriminalisztikai tárgyak


Az iOS 26 számos új kriminalisztikai tárgyat és frissítést mutat be a meglévők számára, amelyeket a digitális kriminalisztikai nyomozóknak tisztában kell lenniük az eszközök és a biztonsági mentések elemzésekor. Ezek a tárgyak kulcsfontosságú betekintést nyújtanak a felhasználói tevékenységekbe, a rendszeres eseményekbe, a kommunikációba és egyebekbe, de az operációs rendszer adatszerkezeteivel és a megtartási politikákkal kapcsolatos összetettségekkel is rendelkeznek.

Az iOS 26 kriminalisztikai tárgyak áttekintése

Az iOS 18 -ról az iOS 26 -ra való ugrás jelentős változásokat hozott a rendszer architektúrájában, a felhasználói élményben, valamint az adatok kezelésének és tárolásának módjában. Ez magában foglalja a megújult üzenetküldő rendszereket, az új AI -funkciókat és az általános UX -változásokat, amelyek  Liquid Glass nevűek. Ezek a változások az adatokat, a formátumot és a hozzáférhetőséget kriminalisztikai célokra.

Új és frissített üzenetküldő tárgyak

Az iOS 26 javítja az üzenetküldő rendszert, megtartja az összetett üzenetszálakat és a különféle tartalomtípusokat. A kriminalisztikai szakemberek azonosították:

- Bővített metaadatok és üzenetek kontextusa, strukturált formátumokban tárolva, amelyek további részleteket tartalmaznak az üzenetek kézbesítéséről, az olvasási állapotról és a szálak résztvevőiről.
- A törölt üzenetek és csevegőszálak szellemrekordjai vagy maradványai. Ide tartozhatnak a beszélgetések nyomai, amelyeket a felhasználók töröltek az eszközükről, de a rendszernaplókban vagy a biztonsági másolatokban továbbra is tartós metaadatok vagy maradék adatok vannak.
- Az üzenetek megőrzési politikájának kritikus hatása van. Az iOS 8 óta a felhasználók 30 napra, 1 évre vagy örökké beállíthatják az üzenetmegtartást. A visszatartási beállítások megváltoztatása befolyásolja az üzenettestek és a kapcsolódó metaadatok jelenlétét vagy hiányát az eszközökön és az iCloud biztonsági másolatokban.
- A törölt üzenet bizonyítékok továbbra is jelen lehetnek a biztonsági másolatokban vagy a rendszernaplókon keresztül, lehetővé téve a korábbi kommunikáció részleges rekonstrukcióját.

Backup tárgyak és kihívások

Az iOS 26 továbbra is erősen támaszkodik az iTunes biztonsági másolatokra (titkosítva vagy titkosítva) a kriminalisztikai adatok kinyerésére:

- A titkosított biztonsági másolatok hozzáférést kínálnak több adatkategóriához, például a hívásnaplókhoz, az Apple Health Data és a böngésző előzményeihez.
- A titkosítási jelszavakra szükség lehet repedésre, bár az iOS 11 visszaállítása a biztonsági mentési jelszó visszaállítása az összes beállítási művelettel, amely néhány beállítást elveszít.
- Az Apple az automatizált SQLite adatbázis porszívózását hajtotta végre a biztonsági mentés során, ami befolyásolja, hogy a törlés vagy a maradék adatok hogyan lehet helyreállítani a biztonsági mentési adatbázisokból.
- A biztonsági másolatok tartalmazhatnak olyan felhasználói alkalmazásokkal kapcsolatos tárgyakat, amelyek megosztják a dokumentumokat és a multimédia fájlokat.

Rendszer és napló tárgyak

Az iOS 26 -ban lévő rendszernaplók és diagnosztikai fájlok a kriminalisztikai adatok létfontosságú forrásaivá váltak:

- Az IOS 10 óta bevezetett egységes naplók ma még átfogóbbak, részletes rendszer- és alkalmazási tevékenységeket biztosítanak, ideértve a biztonsági eseményeket, a hitelesítési kísérleteket és a felhasználói interakciókat.
- SySdiagnose fájlok Archívum parancsának eredményei és rendszeradatok a mélyreható elemzéshez.
- Az élő syslog a valós idejű eszköz eseményeket rögzíti, amíg a naplózás megszakad, hasznos az események korrelálásához.
- Az ütközési naplók nem tartalmazhatnak felhasználói adatokat, hanem segítenek megérteni az alkalmazás végrehajtási ütemterveit, és felismerik a rosszindulatú programok tevékenységét.

AI és intelligencia jellemzői

Az iOS 26 magában foglalja az AI-vezérelt funkciókat, amelyek új metaadat-nyomokat és tárgyakat hagynak:

- Az AI használata az üzenetküldésben és a felhasználói viselkedéskövetésben további metaadatokat generál az interakciókról és a kontextusról, amelyek megjelenhetnek az alkalmazás adatbázisokban.
- Az Apple Intelligence keretrendszerek tárolják az AI-asszisztált tevékenységek nyomait a tipikus kommunikációs adatpontokon túl.

Fizikai és logikai extrakciós megfontolások

A kriminalisztikai adatkitermelő eszközök, mint például a Magnet Graykey és a Verakey, frissítették az iOS 26 támogatását, biztosítva, hogy a nyomozók zökkenőmentesen elérhessék a legújabb eszközöket és verziókat. A kritikus extrakciós pontok a következők:

- AFC (Apple File Connection) szolgáltatási útvonalak, mint például a `/privát/var/mobil/média/` felhasználói multimédiás és fotókalkalmazások adatait.
- Lockdown szolgáltatás, amely az eszközinformációkat biztosítja (név, iOS verzió, azonosítók).
- Megosztott  APP-specifikus adatok alkalmazásainak dokumentumai.
- Logikai kivonások az iTunes biztonsági másolaton keresztül vagy AFC hozzáférés a felhasználói szintű fájlokhoz.

A megtartás és a törlés kriminalisztikai következményei

Az iOS kriminalisztika egyik jelentős kihívása az adatmegőrzési beállítások:

- Ha az üzenetmegtakarítást bármi másra állítják, kivéve az  A régebbi üzenetadatokat szisztematikusan eltávolítják mind az eszközről, mind az iCloudról, csökkentve a rendelkezésre álló kriminalisztikai bizonyítékokat.
- A Ghost Records a törölt vagy megváltozott adatok árnyékát jelzi, és rámutathat a bizonyítékok eltakarására vagy megsemmisítésére.
- A nyomozóknak javasoljuk, hogy ellenőrizzék a biztonsági mentés rendelkezésre állását, mivel a biztonsági másolatok kiterjedtebb történelmi adatokat tartalmazhatnak, annak ellenére, hogy maga az eszköz törli.

A kulcsfontosságú tárgyak összefoglalása kategóriánként

- Üzenetek: továbbfejlesztett üzenet metaadatok, kísérteties üzenetmaradványok, AI metaadatok.
- Biztonsági másolatok: Titkosított/titkosított iTunes biztonsági mentések; Adatbázis porszívózási hatások.
- Naplók: Egységes rendszernaplók, sysdiagnózus fájlok, ütközési naplók, élő syslogs.
- Felhasználói adatok: Multimédia fájlok, megosztott alkalmazásdokumentumok.
- Rendszerinformáció: Lockdown szolgáltatás kimenetek, beleértve az eszköz azonosítókat.
- AI jellemzői: Új kontextuális metaadatok az AI használatából.

Ezek a tárgyak feltárják a felhasználói kommunikációt, az eszköz interakciókat, a rendszeres eseményeket, és nyomkövetési útvonalakat biztosítanak a büntetőügyek, a kiberbiztonsági események és az iOS 26 eszközöket érintő vállalati vizsgálatokra vonatkozó vizsgálatokhoz. Ezeknek a tárgyaknak a megértése és a megfelelő kinyerése frissített kriminalisztikai eszközöket és figyelmet igényel az Apple által alkalmazott, az iOS 26 -ban alkalmazott változó struktúrára.

Az ezekre a frissítésekre való hivatkozások a kriminalisztikai szakértők és szervezetek, például a mágneses kriminalisztika, az N1 Discovery és a Hexordia közelmúltbeli hozzájárulásaiból származnak, akik kiterjedt kutatást végeztek, és megosztott megállapításokat végeztek az iOS 26 kriminalisztikai elemzési technikákról és tárgyakról.