如何在Windows上重現macOS上的取證技巧

2021-09-28 11:59:14 字數 2431 閱讀 2613

啟動工具包

首先,即使你以管理員身份登入系統,也必須以管理員許可權啟動工具包。奇熱這個過程非常簡單:只需在資源管理器中找到主程式指令碼(toolkit.cmd),右鍵單擊它,然後選擇「以管理員身份執行」。

插入工具包中提供的usb加密狗,將開啟新的控制台視窗。此時,你會看到如下結果:

在此螢幕上按enter鍵後,工具箱會提示輸入ssh埠號進行連線。如果你只使用(高階)邏輯獲取,請按enter。如果你的裝置是64位的,執行ios 10,並安裝了meridian越獄功能,請輸入2222並請按enter。對於所有其他ios版本和越獄(順便說一句,我們建議在ios 10中使用doubleh3lix) ,然後再使用預設值22。

建立連線通道

要從越獄裝置提取資料,我們首先建立連線。確認埠號後,應該會開啟另乙個視窗:重慶

如果沒有,就說明出了問題。此時你要檢測為什麼無法建立連線在本例中,工具包列印了錯誤訊息並退出。不過仍然有一種簡單的方法可以進行驗證,開啟命令提示符,轉到工具包的win32資料夾並執行以下命令:

itunnel_mux.exe --iport n --lport 3022
其中n是埠號:meridian的埠號為2222,其他所有越獄的埠號為22,或者如果你根本不使用越獄裝置。

可能出現的乙個錯誤是:

[error] error 0x36b1 (14001): 'unknown error'

[fatal] could not load .\itunesmobiledevice.dll: aborting

在本示例中,只需安裝microsoft visual c ++ 2005 service pack 1就可再發行元件包mfc安全更新。

關於此連線通道視窗的另乙個重要問題是:你不應該在工具箱工作時關閉它,同時,當你退出工具包時(通過按選單中的「 x」,或關閉其主視窗,或按ctrl-c組合鍵),此視窗仍然保持開啟狀態。那時,你應該在使用任何其他裝置之前手動關閉它。

使用檔案系統副本

我不會在這裡介紹有關檔案系統提取的所有詳細資訊,感興趣請了解相關的部落格。但是,還有一些其他特定於windows取證的技巧是和macos不一樣的。此時,你將獲得完整的檔案系統映像。

接下來,對於32位裝置(現在僅舊版工具包支援),我們能夠通過建立逐位映像來執行實際的物理提取。這樣的映像(dmg)更容易處理,因為你可以將其簡單地安裝到系統上。本機安裝在macos上,或者使用windows上的第三方軟體。

對於64位裝置,我們只能提取完整的系統副本,包括你無法通過邏輯提取獲得的檔案,即itunes備份。因此,資料實際上與實際的物理獲取是一樣的(你可能會想到未分配的空間,但是請記住:對於ios,從技術上講,根本不可能從中恢復任何內容)。其中的主要區別在於:檔案系統以.tar (tarball)壓縮檔案的形式提取。使用.tar而不是更流行的.zip有很多原因,但是現在我們將集中討論如何處理這個壓縮檔案。

第一種也是最明顯的方法是:只需使用取證工具或你選擇的方式將其開啟。在此,我們建議使用elcomsoft phone viewer,它速度極快,而且會處理最關鍵的資料,並以非常方便和直觀的方式呈現,而不是像其他軟體包中那樣龐大的複雜表。如果願意,你還可以將其匯出到excel以進行進一步處理,但是也存在其他一些程式(其中大多數都支援.tar檔案)。

但是,你可能需要手動分析資料,因為市場上沒有適用於所有型別檔案的程式(ios裝置上通常有成千上萬個檔案)。

首先,即使解壓後也要始終保留原始的.tar檔案。使用解壓縮的資料時,你可能會不小心刪除某些內容、更改檔案屬性或修改某些sqlite資料庫。而僅僅開啟它就會丟失一些重要的資料,因為隨附的wal(預寫日誌)將被合併。

至於解壓縮本身,還有乙個技巧你必須要知道。

首先,使用管理員許可權執行.tar解壓縮軟體(無論是命令列tar本身還是winrar),就像你對工具包本身進行的操作那樣。否則,symbilic鏈結(在ios上廣泛使用)將無法恢復。你不會丟失任何資料,但是使用symlink,資料更易於瀏覽。是的,windows(甚至windows 7)也支援symlink。

最後可能是最重要的一步,windows在預設情況下對檔案或路徑名有260個字元的限制,因此,.tar中的許多檔案根本不會被提取。這聽起來很瘋狂,但確實如此。至於解決方法?啟用更長的檔名,可以從windows 10周年更新開始,這可以通過組策略或手動編輯登錄檔來完成。

總結

首先,我們還是建議使用macos進行資料提取,因為它更快、更簡單(不需要連線通道視窗之類的東西)、更可靠等優點。不過,由於某些原因,windows仍然是主要的取證平台,這可能是因為大多數取證公司沒有macos版本的軟體。

IDEA的配置如何在Windows和Mac之間轉換

idea中大部分的個性化配置基本都能通過幾個步驟完成同步,且可以是不同操作系之間。本文windows和mac為例子。我之前嘗試是否可以把配置掛載到ftp上,被多台機器共享,但是考慮到因為網路就無法啟動idea代價還是相當大,所以暫時沒去研究 windows系統idea安裝後,其主要的個性化配置都會預...

dd windows 如何在Windows上dd?

dd windows ddis a handy tool on linux.but is it possible to run it on windows?dd是linux上的便捷工具。但是可以在windows上執行它嗎?i find theddin cygwin works very well f...

如何在Windows上編譯Objective C

objective c現在幾乎已經變成了蘋果的專利了,可以直接在蘋果的xcode上編譯objective c程式,但是在windows平台下的編譯工具就寥寥無幾了,本身這種語言用的人就不是很多。今天在網上突然看到了有人發帖,可以在windows平台下編譯objective c,就抱著好奇的心態試了試...