IOS 26, dijital adli araştırmacıların cihazları ve yedeklemeleri analiz ederken farkında olması gereken mevcut olanlara birkaç yeni adli artefakt ve güncelleme sunar. Bu eserler, kullanıcı etkinliği, sistem olayları, iletişim ve daha fazlası hakkında önemli bilgiler sağlar, ancak işletim sisteminin veri yapıları ve elde tutma politikaları ile ilgili karmaşıklıklarla da gelir.
iOS 26 adli eserlerine genel bakış
İOS 18'den iOS 26'ya sıçrama, sistemin mimarisinde, kullanıcı deneyiminde ve verilerin nasıl yönetildiği ve saklandığı önemli değişiklikler getirdi. Bu, yenilenmiş mesajlaşma sistemleri, yeni AI özellikleri ve  sıvı cam adlı genel bir UX değişikliğini içerir.
Yeni ve güncellenmiş mesajlaşma eserleri
iOS 26, karmaşık mesaj iş parçacıklarını ve çeşitli içerik türlerini koruyarak mesajlaşma sistemini geliştirir. Adli tıp uzmanları şunları belirledi:
- Mesaj dağıtım, okuma durumu ve iş parçacığı katılımcıları hakkında daha fazla ayrıntı tutan yapılandırılmış formatlarda depolanan genişletilmiş meta veriler ve mesaj bağlamı.
- Hayalet kayıtları veya silinen mesajların ve sohbet konularının kalıntıları. Bunlar, kullanıcıların cihazlarından sildikleri konuşmaların izlerini içerebilir, ancak yine de sistem günlüklerinde veya yedeklemelerde kalıcı meta verilere veya kalıntı verilere sahip olabilir.
- Mesajlar üzerindeki saklama politikalarının kritik bir etkisi vardır. İOS 8'den bu yana, kullanıcılar mesaj tutmayı 30 gün, 1 yıl veya sonsuza kadar ayarlayabilir. Tutma ayarlarının değişmesi, cihazlar ve iCloud yedeklemelerinde mesaj gövdelerinin ve ilişkili meta verilerin varlığını veya yokluğunu etkiler.
- Silinmiş mesaj kanıtı, yedeklemelerde veya sistem günlükleri aracılığıyla hala mevcut olabilir ve bu da önceki iletişimlerin kısmi olarak yeniden yapılandırılmasına izin verir.
yedek eserler ve zorluklar
IOS 26, adli veri çıkarma için iTunes yedeklemelerine (şifreli veya şifrelenmemiş) büyük ölçüde güvenmeye devam ediyor:
- Şifreli yedeklemeler, arama günlükleri, Apple Health verileri ve tarayıcı geçmişi gibi daha fazla veri kategorisine erişim sağlar.
- Şifreleme şifreleri çatlama gerektirebilir, ancak iOS 11 yedekleme şifresini sıfırlamak, bazı ayarları kaybeden bir “tüm ayarlar” eylemini sıfırla.
- Apple, yedekleme sırasında, yedekleme veritabanlarından silinen veya artık verilerin nasıl kurtarılabileceğini etkileyen otomatik SQLite veritabanı vakumunu uyguladı.
- Yedeklemeler, belgeleri ve multimedya dosyalarını paylaşan kullanıcı uygulamalarıyla ilgili eserleri içerebilir.
Sistem ve günlük eserleri
İOS 26'daki sistem günlükleri ve teşhis dosyaları adli verilerin hayati kaynakları haline gelmiştir:
- IOS 10'dan beri tanıtılan birleşik günlükler artık daha da kapsamlıdır, güvenlik etkinlikleri, kimlik doğrulama denemeleri ve kullanıcı etkileşimleri de dahil olmak üzere ayrıntılı sistem ve uygulama faaliyetleri sağlar.
- SYSDiagnose Dosyaları Arşiv Komut Sonuçları ve Sistem Verileri Derinlemesine analiz için.
- Live Syslog, günlüğü kesintiye uğrayana kadar gerçek zamanlı cihaz olaylarını yakalar, olayları korelasyon için kullanışlıdır.
- Çökme günlükleri kullanıcı verileri içermeyebilir, ancak uygulama yürütme zaman çizelgelerini anlamaya ve kötü amaçlı yazılım etkinliğini algılamaya yardımcı olabilir.
AI ve Zeka Özellikleri
iOS 26, yeni meta veri izleri ve eserler bırakan AI güdümlü özellikleri içerir:
- Mesajlaşma ve kullanıcı davranışı izlemede AI kullanımı, uygulama veritabanlarında görünebilen etkileşimler ve bağlam hakkında ek meta veriler üretir.
- Apple Intelligence Frameworks, tipik iletişim veri noktalarının ötesinde AI destekli faaliyetlerin izlerini saklıyor.
Fiziksel ve Mantıksal Çıkarma Hususları
Magnet Graykey ve Verakey gibi adli veri çıkarma araçları, iOS 26'yı desteklemek için güncellendi ve araştırmacıların en son cihazlara ve sürümlere sorunsuz bir şekilde erişebilmesini sağladı. Kritik çıkarma noktaları şunları içerir:
- AFC (Apple Dosya Bağlantısı) `/private/var/mobil/medya/` `kullanıcı multimedya ve fotoğraf uygulaması verilerini içeren hizmet yolları.
- Cihaz bilgileri sağlayan kilitleme hizmeti (ad, iOS sürümü, tanımlayıcılar).
- Uygulamaya özgü veriler için uygulamaların paylaşılan  belgeleri 'klasörleri.
- İTunes yedeklemeleri veya kullanıcı düzeyinde dosyalara AFC erişimi aracılığıyla mantıksal çıkarımlar.
Tutma ve silinmenin adli sonuçları
İOS adli tıpta önemli bir zorluk veri tutma ayarlarıdır:
- Mesaj tutma, "sonsuza dek" dışında herhangi bir şeye ayarlandığında, eski mesaj verileri hem cihazdan hem de iCloud'dan sistematik olarak kaldırılır ve mevcut adli kanıtları azaltır.
- Hayalet kayıtları, silinen veya değiştirilmiş verilerin gölgesini gösterir ve kanıtları gizlemeye veya yok etme girişimlerine işaret edebilir.
- Yedeklemeler, cihazın kendisindeki silme işlemlerine rağmen daha kapsamlı tarihi verilere sahip olabileceğinden, araştırmacıların yedekleme kullanılabilirliğini kontrol etmeleri tavsiye edilir.
Kategoriye Göre Temel Artefaktların Özeti
- Mesajlaşma: Geliştirilmiş mesaj meta verileri, hayalet mesaj kalıntıları, AI meta verileri.
- Yedeklemeler: şifreli/şifrelenmemiş iTunes yedeklemeleri; Veritabanı vakumlama etkileri.
- Günlükler: Birleşik Sistem Günlükleri, SySdihose Dosyaları, Çökme Günlükleri, Canlı Syslogs.
- Kullanıcı verileri: multimedya dosyaları, paylaşılan uygulama belgeleri.
- Sistem Bilgisi: Cihaz tanımlayıcıları dahil kilitleme hizmeti çıktıları.
- AI özellikleri: AI kullanımından yeni bağlamsal meta veriler.
Bu eserler, kullanıcı iletişimini, cihaz etkileşimlerini, sistem etkinliklerini ortaya çıkarır ve ceza davalarını, siber güvenlik olaylarını ve iOS 26 cihazlarını içeren kurumsal soruşturmaları kapsayan soruşturmalar için izleme yolları sağlar. Bu eserleri anlamak ve doğru bir şekilde çıkarmak, güncellenmiş adli araçlar ve Apple'ın iOS 26'da kullandığı gelişen yapıya dikkat gerektirir.
Bu güncellemeler için yapılan referanslar, iOS 26 adli analiz teknikleri ve eserleri hakkında kapsamlı araştırma ve paylaşılan bulgular yapan Mıknatıs Adli Tıp, N1 Discovery ve Hexordia gibi adli uzmanlar ve kuruluşların son katkılarından gelmektedir.