极客教程Python数字移动设备取证
本章将解释移动设备上的Python数字取证和所涉及的概念。
简介
移动设备取证是数字取证的一个分支,涉及获取和分析移动设备以恢复调查所需的数字证据。这个分支与计算机取证不同,因为移动设备有一个内置的通信系统,可以提供与位置有关的有用信息。
虽然智能手机在数字取证中的使用与日俱增,但由于其异质性,它仍然被认为是非标准的。另一方面,计算机硬件,如硬盘,也被认为是标准的,并作为一个稳定的学科发展。在数字取证行业中,对用于非标准设备的技术有很多争论,这些设备具有短暂的证据,如智能手机。
可从移动设备中提取的人工制品
与只有通话记录或短信的旧手机相比,现代移动设备拥有大量的数字信息。因此,移动设备可以为调查人员提供很多关于其用户的信息。一些可以从移动设备中提取的人工制品如下所示
- 信息 – 这些是有用的人工制品,可以揭示所有者的思想状态,甚至可以向调查员提供一些以前未知的信息。
-
位置历史 – 位置历史数据是一个有用的人工制品,调查人员可以用它来验证一个人的特定位置。
-
安装的应用程序 – 通过访问安装的应用程序的种类,调查员可以深入了解移动用户的习惯和想法。
证据来源和Python的处理
智能手机有SQLite数据库和PLIST文件作为证据的主要来源。在本节中,我们将用Python来处理证据来源。
分析PLIST文件
PLIST(属性列表)是一种灵活方便的格式,用于存储应用程序的数据,特别是在iPhone设备上。它使用的扩展名是 .plist 。 这类文件用来存储关于捆绑和应用程序的信息。它可以有两种格式: XML 和 二进制。 下面的Python代码将打开并读取PLIST文件。注意,在进入这个过程之前,我们必须创建我们自己的 Info.plist 文件。
首先,通过下面的命令安装一个名为 biplist 的第三方库– biplist 。
现在,导入一些有用的库来处理plist文件 —
现在,在main方法下使用以下命令,可以用来将plist文件读入一个变量–
现在,我们可以从这个变量中读取控制台中的数据或直接打印。
SQLite数据库
SQLite是移动设备上的主要数据存储库。SQLite是一个进程中的库,实现了一个独立的、无服务器的、零配置的、事务性的SQL数据库引擎。它是一个数据库,是零配置的,你不需要在你的系统中配置它,这与其他数据库不同。
如果你是一个新手或不熟悉SQLite数据库,你可以按照链接www.tutorialspoint.com/sqlite/index.htm,此外 ,如果你想用Python详细了解SQLite,你可以按照链接www.tutorialspoint.com/sqlite/sqlite_python.htm 。
在移动取证过程中,我们可以与移动设备的 sms.db 文件进行交互,并可以从 信息 表中提取有价值的信息。Python有一个名为 sqlite3 的内置库,用于与SQLite数据库连接。你可以用下面的命令导入同样的东西
现在,在以下命令的帮助下,我们可以连接到数据库,在移动设备的情况下称为 sms.db。
这里,C是游标对象,在它的帮助下我们可以与数据库交互。
现在,假设我们想执行一个特定的命令,比如说从 abc表中 获取详细信息,可以通过以下命令来完成
上述命令的结果将被存储在 游标 对象中。同样的,我们可以使用 fetchall() 方法将结果转储到一个我们可以操作的变量中。
我们可以使用下面的命令来获取 sms.db 中消息表的列名数据—-。
请注意,这里我们使用的是SQLite PRAGMA命令,它是用来控制SQLite环境中各种环境变量和状态标志的特殊命令。在上述命令中, fetchall() 方法返回一个结果的元组。每一列的名称被存储在每个元组的第一个索引中。
现在,在以下命令的帮助下,我们可以查询该表的所有数据,并将其存储在名为 data_msg 的变量中。
上述命令将把数据存储在变量中,而且我们还可以通过使用 csv.writer() 方法把上述数据写入CSV文件中。
iTunes备份
iPhone手机取证可以通过iTunes的备份来进行。鉴证人员依靠分析通过iTunes获得的iPhone逻辑备份。AFC(苹果文件连接)协议是由iTunes使用来进行备份的。此外,除了托管密钥记录,备份过程不会修改iPhone上的任何东西。
现在,问题来了,为什么数字取证专家必须了解iTunes备份的技术?这对我们进入犯罪嫌疑人的电脑而不是直接进入iPhone很重要,因为当电脑被用来与iPhone同步时,iPhone上的大部分信息都有可能被备份到电脑上了。
备份的过程和位置
每当苹果产品被备份到电脑上时,它就会与iTunes同步,并且会有一个带有设备独特ID的特定文件夹。在最新的备份格式中,文件被存储在包含文件名前两个十六进制字符的子文件夹中。从这些备份文件中,有一些文件,如info.plist,与名为Manifest.db的数据库一起是很有用的。The following table shows the backup locations, that vary with operating systems of iTunes backups −
| 操作系统 | 备份位置 |
|---|---|
| Win7 | C:\Users\[用户名]\AppData\Roaming\AppleComputer\MobileSync\Backup\ |
| MAC OS X | ~/Library/Application Suport/MobileSync/Backup/ 仓库。 |
对于用Python处理iTunes的备份,我们首先需要根据我们的操作系统识别备份位置的所有备份。然后,我们将遍历每个备份并读取数据库Manifest.db。
Now, with the help of following Python code we can do the same −
首先,导入必要的库,如下所示
现在,提供两个位置参数,即 INPUT_DIR 和 OUTPUT_DIR,代表 iTunes 的备份和所需的输出文件夹。
现在,按以下方式设置日志—
现在,为该日志设置信息格式,如下所示
下面这行代码将通过使用 os.makedirs( )函数为所需的输出目录创建必要的文件夹。
现在,将提供的输入和输出目录传递给main()函数,如下所示
现在,编写 main( )函数,它将进一步调用 backup_summary() 函数,以确定输入文件夹中存在的所有备份。
现在,将每个备份的摘要打印到控制台,如下所示 –
现在,将Manifest.db文件的内容转储到名为db_items的变量中。
现在,让我们定义一个函数,它将获取备份的目录路径:
现在,使用SQLite3,我们将通过名为c的游标连接到数据库—-。
现在,定义 create_files( )方法,如下所示
现在,遍历 db_items 字典中的每个键—-。
现在,使用 shutil.copyfile( )方法来复制备份的文件,如下所示
通过上述Python脚本,我们可以在输出文件夹中获得更新的备份文件结构。我们可以使用 pycrypto python库来解密备份。
Wi – Fi
移动设备可以通过随处可见的Wi-Fi网络连接到外部世界。有时,设备会自动连接到这些开放的网络。
在iPhone的情况下,设备已经连接的开放Wi-Fi连接列表存储在一个名为 com.apple.wifi.plist的 PLIST文件中 。 这个文件将包含Wi-Fi SSID、BSSID和连接时间。
我们需要使用Python从标准的Cellebrite XML报告中提取Wi-Fi细节。为此,我们需要使用无线地理记录引擎(WIGLE)的API,这是一个流行的平台,可用于使用Wi-Fi网络的名称找到设备的位置。
我们可以使用名为 request 的Python库来访问WIGLE的API。它可以按以下方式安装
来自WIGLE的API
我们需要在WIGLE的网站https://wigle.net/account,以便 从WIGLE获得免费的API。下面讨论通过WIGEL的API获得用户设备及其连接信息的Python脚本:
首先,导入以下库来处理不同的事情:
现在,提供两个位置参数,即 INPUT_FILE 和 OUTPUT_CSV ,它们将分别代表带有Wi-Fi MAC地址的输入文件和所需的输出CSV文件。
现在下面几行代码将检查输入文件是否存在并且是一个文件。如果不存在,它将退出脚本 –
Now, pass the argument to main as follows −
现在,我们将解析XML文件,如下图所示
现在,通过根的子元素进行迭代,如下所示:
现在,我们将检查’sid’字符串是否存在于该值的文本中。
现在,我们需要将BSSID、SSID和时间戳添加到wifi字典中,如下图所示
文本分析器比XML分析器简单得多,如下图所示。
现在,让我们使用requests模块来进行 WIGLE API 调用,并需要转到 query_wigle( )方法。
实际上,每天的WIGLE API调用是有限制的,如果超过了这个限制,那么它必须显示一个错误,如下所示
现在,我们将使用 prep_output( )方法将字典平铺成容易写入的小块。
Now, access all the data we have collected so far as follows −
现在,我们可以使用 write_csv() 函数将输出写入CSV文件,正如我们在本章前面的脚本中所做的那样。