iPhoneのデータはどのように保存されるのか?
iPhoneのデータはどのように保存されるのか?
iPhoneがデータを保存する方法にはいくつかあります。
下に書いてあるセクションは、
それぞれデータストレージ(記憶装置/領域)の形態で、
iPhoneの内部調査をする人が、どのように潜在的な証拠が位置し、
リカバリされるのかを理解できるように提供されているものです。
1、内部ストレージ(記憶装置/領域)
2、SQLiteデータベースファイル
3、プロパティリスト
4、ネットワーク
5、その他
内部ストレージ(記憶装置/領域)
たくさんのCDMA(code division multiple access)デバイスと違って、
iPhoneはSDカードスロットのような外部スロットや、
外部ストレージ(記憶装置/領域)を持ちません。
すべてのデータは内部のNANDフラッシュメモリに保存されています。
slice 2(またの名をrdisk0s2)は、
すべてのユーザデータファイルが保存されている所です。
デバイスの躯体的な取得の間、イメージされているのがこのパーテーションです。
下記の様にたくさんのユーザがリスト化され、保存されている中の、
トップに位置するファイルとディレクトリにリストされています。
―applications
|―・・・・・・・・・・・・・・
|―・・・・・・・・・・・・・・
―Libraty
|―・・・・・・・・・・・・・・
|―・・・・・・・・・・・・・・
―310410
|―・・・・・・・・・・・・・・
|―・・・・・・・・・・・・・・
―Media
|―・・・・・・・・・・・・・・
デバイス内部にすべてのデータが保存されるように、
iPhoneはイメージする能力を持っているので、割り当てられた、または、
割り当てられていないデータの両方を引き出すのは、ある意味、
調査において非常に重要になってきます。
消去されたテキストメッセージ、写真、ビデオは時折、
作り、壊される場合がありますので、ユーザデータパーテーションの躯体的取得を
作っていくことが理想的です。
SQLite データベースファイル
さらに一般的なデータストレージの1つで、
たくさんのモバイルアプリケーション開発者に使われるのが、
SQLiteデータベースです。
データベースは、構造化されたデータベースに使われ、
SQLiteは、既存のオペレーティングシステムと同じように、
たくさんのモバイルシステムに見られる一般的なデータベースの書式です。
SQLiteが一般的なのにはたくさんの理由があり、
一番の理由は、全体のコードベースが高品質なことでしょう。
SQLiteはオープンソースで、公共のドメインにリリースされています。
SQLiteのファイルフォーマットとプログラム自体はとても小さくコンパクトで、
数百キロバイト以下で重要な機能性を持っています。
Oracle、MySQLやMicrosoftのSQL Serverのような既存のRDBMS、
(relational database management system)とは違い、
SQLiteはデータベース全体は単一のクロスプラットフォームファイルに、
格納されています。
アプリケーションには、データを保存し、検索を効果的な方法で行う必要があります。
アプリケーションの開発者は、大抵の場合、
このデータ保存、検索の効率化に向けて、
自身の持つ個々のファイルフォーマットを制作していきます。
しかし、多くは今SQLiteに向いてきています。
なぜなら、無料で、オープンソースで、高品質で、効果的だからです。
さらにシステムがクラッシュした後でも、
SQLiteのトランザクション(処理)はまだ利用可能です。
アップルの開発者は、iPhone内のデータストレージ(記憶装置/領域)に
SQLiteデータベースを活用させています。
一般的なアプリケーションの初期設定の多くは、このフォーマットで保存され、
アドレスブック、カレンダー、メモ、テキストメッセージ、写真、
ボイスメールなどに使われています。
それらのファイル内のデータがテーブルの中でバラバラになっても、
そこにはデータが含まれています。
SMS SQLファイルの情報はコマンドラインを通じて検索もされます。
Linux Ubuntuワークステーション上で、
データベースファイルを閲覧し、修正させることができます。
下記のコマンドはSQLiteバージョン3を使ってSMS.dbを開きます。
$ ./sqlite3 sms.db
.........(任意のバージョンなど)
sqlite>
開けたら、データの検索に様々なコマンドが使える様になります。
”tables”を使えばデータベースにあるすべてのテーブルを表示します。
”.schema messages”を使えば、
メッセージテーブルの構造を”schema”として参照し、表示します。
その”schema”は、データベースを特定の言語で編成していく方法で、
記述されます。
メッセージテーブルのschemaを見ていくのは、
すべてのデータタイプと関連付けられたフィールドと
同じようなテーブルの中の異なるフィールドを理解するための
他の方法となります。
この情報を見ていくには、SQLiteデータベースブラウザを使います。
このデータベースブラウザもフリー(無料)で提供されており、
オープンソースで、SQLiteをサポートするデータベースを作り、
設計し、編集するのに使われます。
このブラウザはMac、Linux、Windowsプラットフォームで使え、
sqliteborowser.source.netからダウンロードできます。
他のSQLiteデータベースを閲覧するツールは、
www.sqlite.org/cnstrac/wiki?p=ManagementToolsから入手可能です。
iPhoneにマウントする重要なデータがSQLiteファイルに見られる様になってから、
iPhoneの内部調査をする人は、調査する前にそれらデータベースが、
どのようにデータに影響しているのかを理解するしなければなりません。
どのようにiPhoneのデータが保存されるのか?のつづき。
プロパティリストのこと。
ネットワークのこと
セッション
インターネットにつなぐといった、
特定のコンピュータによるサービスを
人がつかうときの、
一区切りの時間のこと
躯体的取得
コンピュータ内に保存している
データをビットごとコピーして
内容を得ること
パーテーション
主にハードディスク内のデータを
整理するために区分けするための概念。
PCの場合ではほとんどひとつのパーテーション
記憶装置の容量が大きくなってきた今日では
二つ以上のものも多い。
ディレクトリ
ファイルの名前や場所を保存している
記憶装置上の場所のこと。
マッキントッシュやWindowsではフォルダ。
ツリー構造で構成されている。
トランザクション
主にデータのやり取り、処理の事。
データベースの場合、ユーザによる
検索、更新などの一連の手続きを指す。
ファームウェア
決まった形で保存されている
ソフトウェア(プログラム)の事。
例、ROM・フラッシュメモリ
専用のソフト・ハードなど
フォレンジック
ある特定のデバイスの中の
データを分析し、
不正利用などの痕跡を調査すること。
デバイス
ここではiPhoneやiPod,iPadなど、
iOSが動いている機器のこと。
イメージ
記憶装置に記録されたデータを
ファイルやフォルダの体裁を
保ったままコピーしたもの
調査人
ここではiPhoneやiPod,iPadなど、
iOSが動いている機器自体の情報や、
不正利用されていないか、
ウィルスなどに感染していないかを
調べる人のことを指す。
コメントアウト
プログラムのソースコードやソフトウェアの
設定ファイルを部分変更したい時に、
消去するのではなく、コメント化して、
一時的に機能しなくすること。
