胡格编著的《iOS取证实战(调查分析与移动安全)》是安全技术大系之一，《iOS取证实战(调查分析与移动安全)》是iPhone和iOS取证领域广受好评的经典著作，资深取证技术专家撰写，理论指导与实用性兼备！从iPhone和其他iOS设备的硬件设备、应用开发环境、系统原理多角度剖析iOS系统的安全原理，结合实用的工具和案例系统讲解取证的技术、策略、方法和步骤。

胡格编著的《iOS取证实战(调查分析与移动安全)》是iPhone和iOS取证领域广受好评的经典著作，资深取证技术专家撰写，理论指导与实用性兼备！从iPhone和其他iOS设备的硬件设备、应用开发环境、系统原理多角度剖析iOS系统的安全原理，结合实用的工具和案例系统讲解取证的技术、策略、方法和步骤。

《iOS取证实战(调查分析与移动安全)》第1章是对iPhone的概述，介绍iPhone型号、硬件组件、iPhone设备的取证采集，以及一些功能强大的Linux命令行。第2章介绍运行iOS的主流设备及其独有特性，涵盖操作系统的操作、设备安全和启动至不同操作模式的方法，以及iTunes和iOS设备之间的交互。第3章讨论存储在iPhone上的可恢复数据类型、存储的格式和常规位置，概述iPhone设备的存储器类型、操作系统、文件系统以及磁盘分区。第4章通过Apple设备测试的过程来确定能从这些设备中恢复哪些敏感数据类型，并涵盖安全移动应用程序的沿革，以及对设备和应用程序安全的一些常规建议。第5章涵盖可在iOS设备上执行的各种逻辑获取和物理获取方法，并概述其他可映像的iOS设备。第6章介绍iPhone上的数据分析技术，涵盖基础技术（如挂载磁盘映像）以及用十六进制编辑器分析映像的高级技术，并全部提供实用的脚本供审查者实践，随后论及分析技术、文件系统的设计和各数据类型的存储位置。第7章介绍各种移动取证工具的使用方法及其差异对比，包括iPhone测试数据构造、测试方法论，尤为重要的是，该章介绍12个取证工具的安装、取证和分析，并给出测试步骤和调查报告。

译者序

前言

第1章　概述 1

 1.1　介绍 1

 1.1.1　策略 1

 1.1.2　开发者社区 2

 1.2　iPhone型号 4

 1.3　取证审查方法 8

 1.3.1　iPhone取证技术分级 9

 1.3.2　取证获取类型 11

 1.3.3　使用Linux取证 13

 1.4　小结 27

 1.5　参考文献 28

第2章　设备特性和功能29

 2.1　介绍 29

 2.2　Apple设备概述 29

 2.3　操作模式 30

 2.3.1　基本模式 31

 2.3.2　恢复模式 31

 2.3.3　DFU模式 31

 2.3.4　退出恢复/DFU模式 34

 2.4　安全 35

 2.4.1　设备设置 35

 2.4.2　安全擦除 36

 2.4.3　应用程序安全 36

 2.5　与iTunes的交互 37

 2.5.1　设备同步 37

 2.5.2　iPhone备份 37

 2.5.3　iPhone还原 38

 2.5.4　iPhone iOS更新 38

 2.5.5　应用商店 43

 2.5.6　MobileMe 43

 2.6　小结 43

 2.7　参考资料 43

第3章　文件系统和数据存储45

 3.1　介绍 45

 3.2　可恢复的数据 45

 3.3　数据存储位置 46

 3.4　数据存储方式 48

 3.4.1　内部存储 49

 3.4.2　SQLite 数据库文件 50

 3.4.3　属性列表 51

 3.4.4　网络 54

 3.5　存储器类型 54

 3.5.1　RAM 54

 3.5.2　NAND闪存 55

 3.6　iPhone操作系统 58

 3.7　文件系统 59

 3.7.1　卷 61

 3.7.2　日志 62

 3.7.3　iPhone磁盘分区 62

 3.8　小结 63

 3.9　参考文献 63

第4章　iPhone和iPad的数据安全65

 4.1　介绍 65

 4.2　数据安全和测试 65

 4.2.1　美国计算机犯罪法 66

 4.2.2　由管理员负责的数据保护 67

 4.2.3　安全测试过程 70

 4.3　应用程序安全 76

 4.3.1　移动应用程序的企业或个人客户 77

 4.3.2　公司或个人移动应用开发者 79

 4.3.3　应用开发者的安全策略 79

 4.4　对设备和应用的安全建议 84

 4.5　小结 85

 4.6　参考文献 85

第5章　取证获取87

 5.1　介绍 87

 5.2　iPhone取证概述 87

 5.2.1　调查类型 87

 5.2.2　逻辑技术和物理技术的区别 88

 5.2.3　目标设备的修改 88

 5.3　处理证据 90

 5.3.1　密码处理 90

 5.3.2　网络隔离 91

 5.3.3　关闭的设备 91

 5.4　映像iPhone/iPad 91

 5.4.1　备份获取 91

 5.4.2　逻辑获取 97

 5.4.3　物理获取 97

 5.5　映像其他Apple设备 108

 5.5.1　iPad 108

 5.5.2　iPod Touch 109

 5.5.3　Apple TV 109

 5.6　小结 109

 5.7 　参考文献 109

第6章　数据和应用程序分析111

 6.1　介绍 111

 6.2　分析技术 111

 6.2.1　挂载磁盘映像 111

 6.2.2　文件雕复 112

 6.2.3　strings 117

 6.2.4　时间表创建及分析 119

 6.2.5　取证分析 125

 6.3　iPhone数据存储位置 130

 6.3.1　默认应用程序 131

 6.3.2　下载的应用程序 137

 6.3.3　其他相关数据 140

 6.4　iPhone应用程序分析和参考 147

 6.4.1　默认应用程序 147

 6.4.2　下载的第三方应用程序 167

 6.5　小结 175

 6.6　参考文献 175

第7章　商用工具测试176

 7.1　介绍 176

 7.2　数据构造 176

 7.3　分析方法 179

 7.4　CelleBrite UFED 181

 7.4.1　安装 182

 7.4.2　取证获取 182

 7.4.3　结果和报告 183

 7.5　iXAM 188

 7.5.1　安装 189

 7.5.2　取证获取 189

 7.5.3　结果和报告 191

 7.6　Oxygen Forgensic Suite 2010 193

 7.6.1　安装 195

 7.6.2　取证获取 195

 7.6.3　结果和报告 196

 7.7　XRY 199

 7.7.1　安装 200

 7.7.2　取证获取 200

 7.7.3　结果和报告 200

 7.8　Lantern 204

 7.8.1　安装 205

 7.8.2　取证获取 205

 7.8.3　结果和报告 206

 7.9　MacLock Pick 208

 7.9.1　安装 209

 7.9.2　取证获取 210

 7.9.3　结果和报告 210

 7.10　Mobilyze 211

 7.10.1　安装 212

 7.10.2　取证获取 212

 7.10.3　结果和报告 213

 7.11　Zdziarski技术 215

 7.11.1　安装 217

 7.11.2　取证获取 218

 7.11.3　结果和报告 218

 7.12　Paraben Device Seizure 220

 7.12.1　安装 222

 7.12.2　取证获取 222

 7.12.3　结果和报告 223

 7.13　MobileSyncBrowser 226

 7.13.1　安装 226

 7.13.2　取证获取 226

 7.13.3　结果和报告 226

 7.14　CellDEK 228

 7.14.1　安装 229

 7.14.2　取证获取 229

 7.14.3　结果和报告 229

 7.15　EnCase Neutrino 232

 7.15.1　安装 232

 7.15.2　取证获取 232

 7.15.3　结果和报告 233

 7.16　iPhone Analyzer 235

 7.16.1　安装 236

 7.16.2　取证获得 237

 7.16.3　结果和报告 237

 7.17 　小结 239

 7.18　参考文献 240

附录A　iTunes备份位置241

附录B　分析常规文件和数据类型的工具242

附录C　iPhone文件系统 243