iPhone第三方软件取证的研究

摘 要：第三方软件作为智能手机发展的必然产物成为越来越多人关注的热点，而针对于对三方软件的取证工作却仍然没有得到应有的重视。本文对iPhone中的微信软件进行系统的分析，并提出了播放iPhone微信语音记录的方法，利用这一方法可以很好地解决当下备份文件无法播放aud语音记录的问题。

关键词：微信；手机取证；第三方软件；语音记录

中图分类号：TP309

随着移动互联网的发展，智能手机已经俨然成为人们生活中不可获取的一部分。与此同时，利用手机进行诈骗、诽谤和伪造等犯罪活动也屡见不鲜。手机取证成为打击这类犯罪的一个有效手段。传统的手机取证主要着眼于电话本、短信、以及语音信息等基础数据的提取。随着微信等第三方软件的兴起，利用第三方软件的犯罪活动日益猖獗。如何很好实现第三方软件的证据的提取，成为摆在取证工作人员面前的一道坎。而IOS系统以其特有的封闭性，对证据的提取又造了一堵无形的墙。之前对IOS系统内部数据的提取都必须经过jailbreak，也就是俗称的越狱。但是经过越狱操作的设备，因其通过非官方途径获取了系统的root权限，我们很难确定在越狱过程中是否对系统内部的数据进行了篡改，经过越狱的数据很难成为法院认可的证据。因此最理想的方法是对其备份信息进行分析。

本文将利用提取的iPhone的备份文件，对第三方软件微信的目录结构进行解析，在此基础上探究一种解析微信语音聊天记录的方法，解决困扰取证工作人员的难题。

1 备份文件的提取

iTunes是苹果公司的供Mac和PC使用的一款免费应用软件，能管理和播放多媒体文件、备份数据信息、下载第三方软件、配置你的设备等等，而我们最为关注的就是这个官方备份功能。

iTunes可以自动备份iPhone中的以下内容：文字短息、彩信中的图片、联系人、日历、备忘录、相机胶卷、最近通话、个人收藏、声音设置、电子邮件设置、safari浏览器设置、应用程序信息（如游戏存档、数据库信息、图片信息、软件配置信息等）、网络配置信息（Wi-Fi、蜂窝数据网、VPN等）、以及一些其他配置信息，而我们最为关注的就是应用程序信息。

iPhone手机数据的备份以及备份文件的加密都是通过iTunes完成的，备份文件由于操作系统的不同保存的路径也不一样。下表列出了不同操作系统备份文件存储位置：

操作系统 存储路径

Windows 7/Vista ：＼Users＼＼AppData＼Roaming＼Apple

Computer＼MobileSync＼Backup＼

Windows XP ：＼Documents and

Settings＼＼Application Data＼Apple

Computer＼MobileSync＼Backup＼

Mac OSX ～/Library/Application Support/MobileSync/Backup/

在此文件夹下存在大量的文件，其中只有少数的文件拥有扩展名，其余大多数文件才是真正的备份文件，这接文件的名称均是使用hash编码计算得到的。

Info.plist文件提供了包括IMEI号在内的一些本机的硬件信息，Status.plist文件显示了该iPhone备份的时间、备份的状态等的一些备份信息，Manifest.plist文件保存了手机安装的Apps信息，主要作用是确保备份文件之间数据的完整性。

其中一个叫做Manifest.mbdb的文件包含了备份的文件名、路径等信息。在之前的IOS版本中，其备份的文件中有一个后缀名为mbdx的文件，在这个文件中列出了真实文件路径和它对应的hash值的对应列表，这个文件仅在IOS4中存在，在之后的版本中被取消了，所以文件的hash名称需要去计算。

其他没有扩展名的文件就是真正的备份文件。文件的名称是hash名称，它们是由‘AppDomain’+‘-’+文件的Domain +‘-’+路径，然后经过sha1计算得到的。

例如通过上述方法将下边的这条路径AppDomain-com.tencent.xin-Library/Preferences/com.tencent.xin.plist存储为txt文本，并计算其sha1值将得到一条文本958A23058740B1FE040B54E38D7AC7D2E2322284，而这条文本刚好就是我们要找的一个文件的文件名。

由于备份提取并不是本文的重点，在这里我们将借助iBackupBot这个免费的小工具将对应的经过名称加密的文件进行还原，重新得到完整的备份信息。

2 微信语音文件的获取

图1中列出了经过备份还原的部分根目录信息，在还原过后的根目录树中寻找名称为AppDomain-com.tencent.xin的文件夹，这个就是微信备份文件的完整目录。

图2列出了微信目录的具体文件。在这所有文件夹中，我们所关心的就是那个由32位编码组成的文件夹，该文件夹是由手机IMEI+微信uin号进行MD5校验得到的，由于每个微信号的uin是唯一的，所以理论上在您在手机上登陆几个微信账号，就会有相应的几个这样的文件夹。本文将提取的微信语音记录同样在这个文件夹下。

打开1a3c968eb525ec1e7930344e773e51c3这个文件，找到里面的Audio文件夹并打开。将会如图3这样显示相应的文件夹和文件，不同的文件夹代表不同时间的备份资料。最下侧的文件就是我们将要研究的对象。

3 iPhone微信语音播放方法

微信作为移动互联网的一个明星产品，广泛存在于主流的智能操作系统上。在不同的智能系统上腾讯采用了不同的设计策略。众所周知，android版的微信语音记录采用了.amr的文件格式，这种格式可以广泛的被各种音频播放器所解析。如何能找到.aud和.amr之间的差异，这将成为解决语音播放问题的突破口。

在微信4.5版本的设置-聊天记录迁移中有一项聊天记录上传功能，因此可以用iPhone生成了一条语音聊天记录，并将这条聊天记录上传到了腾讯的云端服务器。然后利用另一部android设备登陆这个微信账号，并通过设置-聊天记录迁移从腾讯的云端服务器下载了之前上传进去的语音记录。

通过android系统下的R.E管理器进入Tencent＼MicroMsg＼＼voice，提取从云端下载的.amr文件。点击播放，从听觉上判断的确是之前生成的语音文件，但这并不具有说服力。

因此，需要进一步的对比判断。将之前生成语音记录的iPhone连接iTunes进行备份操作，利用上文提到的提取微信语音记录的方法提取那条生成的.aud文件。当然这个文件无论如何都是无法使用播放器播放的。

找到了这两个文件，接下来的工作就是对比二者的差异，如果想很准确的对比两个文件的差异，最好的办法是借助相应的文件比对工具实现。本文将采用UltraEdit进行两个文件的比对。图4列出了文件对比的结果：

其中显示39行匹配，1行不同。查看对比结果发现，.amr文件比.aud多了‘#！AMR’这个文件头。

为了保证结果的可信服性。由于这个版本的UltraEdit只提供文本的比对，为了实现16进制码的比对，这里使用了Hex Fiend进行比较。具体的比较结果如图5所示：

结果如出一辙，在文件开头检测到多出23 21 41 4D 52 0A这六组16进制编码，其余的数据都相同。

使用UltraEdit打开.amr文件，查看16进制与文本的对照表。如图6所示，发现文本中多出来的‘#！AMR’字符，刚好是与16进制码多出的23 21 41 4D 52 0A对应。

通过查询资料发现，文件头是位于文件开头的一段承担一定任务的数据，一般都在开头部分。它主要用来告诉系统它用什么软件才能进行解析。其中‘#！AMR’其实就是.amr文件的一个文件头，它的作用就是标识文件的播放格式，缺少了它任何播放器都无法做到正常的解码工作。而腾讯的做法就是通过剔除.aud文件的文件头来掩盖其真实的编码方式，达到防止.aud文件被解析的目的。因此对.aud文本添加文件头，并修改相应的文件扩展名即可正常的播放任意iPhone微信备份文件夹中的.aud文件。

4 总结

本文通过对iPhone备份文件进行提取，并分析了第三方应用的目录结构。在此基础上，探讨了一种提取微信语音记录的方法，深层次的分析了.aud文件，找到了其无法使用被任意音频软件解析的原因，并提出了解决这一问题的方法。未来，将对此方案进行深入的完善并制作相关工具实现数据的转换。

参考文献：

[1]金星，孙波，曹雪芬.备份文件加密的iphone手机取证研究[J].警察技术，2012，5：12-14.

[2]陈佳霖，王轶骏，薛质.IOS系统数据安全研究[J].信息安全与通信保密，2012，8：100-105.

[3]李柏岚，谷大武，李卷孺.IOS备份机制中隐私威胁问题的分析[J].通信技术，2012，45（2）：25-28.

[4]Clinton Capene.Looking to iPhone backup files for evidence extraction[J].Australian Digital Forensics Conference，2011，9：16-32.

[5]Mathieu renard.Practical IOS App hacking Can we trust vendors to secure our data？[J].Mathieu Renard/Practical IOS App hacking，2012，1：15-26.

[6]Mahmoud Elkhodr，Seyed Shahrestani and Hon Cheung.A Review of Mobile Location Privacy in the Internet of Things[J].2012 Tenth International Conference on ICT and Knowledge Engineering，2012，11：266-272.

[7]Alex Levinson，Bill Stackpole，Daryl Johnson.Third Party Application Forensi cs on Apple Mobile Devices[J].System Sciences （HICSS），2011，1：1-9.

作者简介：杜江，男，重庆人，教授，重庆邮电大学信息安全实验室，研究方向：计算机取证、信息安全；王聪（1987.8-），男，河南省南阳市人，研究生在读，研究方向：电子取证、手机取证。

作者单位：重庆邮电大学计算机科学与技术学院，重庆 400065；重庆邮电大学通信与信息工程学院，重庆 400065。