iPhoneのセキュリティ フォレンジックイメージ
フォレンジック イメージ化
iPhoneのセキュリティをテストする手続き データの総数にある情報を、
一度デバイスの中に入れてしまえば、
フォレンジック的なイメージ化の準備が整ったことになります。
この準備が整っている人は、このセクションを読む必要はないでしょう。
フォレンジックのイメージ化はデバイスからの
メモリコンテンツとディスクの取得を参照します。
フォレンジックのイメージ化の目的は、
電子証明のコピーを作ることで、それは後で分析に使います。
デバイス自体にあるデータを修正させていくことから防ぎ、
”pristine”証明を保持します。
一度、ディスクとメモリコンテンツがデバイスから引き出されたら、
フォレンジックワークステーションに読み出し専用として、
保存させられる外部ファイルにこのデータをコピーし、
その後、いろんなフォレンジックツールを使って検査させます。
この目的は、デバイス上にある指定データをディスクイメージ全体から、
検索する能力を持つためのものです。
一方では、躯体的な取得で、デバイスのパーテーションか、
ディスク全体コピーを参照します。
この査定のゴールも、フルリセットと遠隔で”拭く”の両方が、
成功か失敗したかを確かめるために、
いろんな”拭く”技術を行われた後に、iPhoneをイメージ・分析します。
この理由で、それぞれのデバイスは4回イメージされます。
- 当初のデバイスポピュレーションの後
- ActiveSync接続の削除後
- ActiveSyncを使って遠隔で”拭かれた”後
- デバイスの設定を使ってフルリセットが行われた後
これらそれぞれのステップで、同じ取得処理が行われます。
最初、デバイスのバックアップをするためにiTunesにiPhoneを接続させます。
暗号化されていないバックアップと暗号化されたバックアップ両方を
それぞれからデータを引き出せるかどうかを決めるために行います。
フォレンジックツールは後に、
ASCII文字で読めるようにバックアップファイルを変換させるのにつかわれ、
それらからデータのリカバリを試します。
次に、論理的取得がLantern、iPhoneフォレンジック商用ツールを使って
デバイス上で行われます。
この査定が1.0.6.0の時、そのバージョンが利用されます。
このプロセスを通して、
同じようなデータファイルがバックアップファイルからのようにリカバリされます。
しかし、Lanternを含むたくさんのフォレンジックツールは、
生ファイルから一般的なデータのいくつかを引き出し、
レポーティングツールにそれらを結合し、結果を簡単に見れる様にします。
最後に、iPhoneの躯体的イメージは、
現在利用できる2つの技術のうち1つを利用して行われます。
この方式は、USB接続でユーザパーテーション全体のコピーを引き出します。
少しずつこのディスクパーテーションを引き出し、
後にデータを分析させます。
そのディスクイメージファイルの結果は、いかなるデータの変更も防ぐため、
読み出し専用としてマークされます。
フォレンジック
ある特定のデバイスの中のデータを
分析し、不正利用などの痕跡を調査すること。
セッション
インターネットにつなぐといった、
特定のコンピュータによるサービスを
人がつかうときの、
一区切りの時間のこと
デバイス
ここではiPhoneやiPod,iPadなど、
iOSが動いている機器のこと。
イメージ
記憶装置に記録されたデータを
ファイルやフォルダの体裁を
保ったままコピーしたもの
拭く(wipe ワイプ)
ファイルシステムのファイルだけでなく
データ領域全体を消去すること。
躯体的取得
コンピュータ内に保存されている
データをビットごとに保存し、
内容を調査すること。
調査人
ここではiPhoneやiPod,iPadなど、
iOSが動いている機器自体の情報や、
不正利用されていないか、
ウィルスなどに感染していないかを
調べる人のことを指す。
ディレクトリ
ファイルの名前や場所を保存している
記憶装置上の場所のこと。
マッキントッシュやWindowsではフォルダ。
ツリー構造で構成されている。
トランザクション
主にデータのやり取り、処理の事。
データベースの場合、ユーザによる
検索、更新などの一連の手続きを指す。
