靳明远

（湖北工程学院 湖北省孝感市 432000）

一种基于iOS平台微信取证分析

靳明远

（湖北工程学院 湖北省孝感市 432000）

随着科技的不断发展，在当前的社会中，智能手机正在得到越来越广泛的应用，利用智能手机，能够完成很多计算机的功能和应用。在当前的智能手机领域当中，苹果公司生产的iPhone系列智能手机和iPad系列平板电脑，在全世界范围内都受到了十分广泛的欢迎，拥有极大的用户基础。腾讯公司开发的微信是当前社交聊天软件中一个应用十分广泛的软件，其用户数量已经超过了3.5亿人。基于此，本文对一种基于iOS平台的微信取证分析进行研究。

iOS平台；微信取证；分析

前言

随着科技的不断发展，在硬件平台、移动互联网等领域当中，都得到了极大的进展。在人们的日常生活当中，智能手机正在得到越来越广泛的应用，而在连接到互联网之后，利用手机进行伪造、诽谤、诈骗等犯罪行为也日益增加。因而，在打击此类犯罪行为的过程中，手机取证发挥着重要的作用。由于基于微信平台的犯罪行为也较为常见，因此微信取证也具有十分重要的意义。而在iOS平台中，需要进行越狱，才能够更好的实现微信取证。

1 基于iOS平台的取证

1.1 未越狱的情况下提取备份文件

苹果公司面向PC和Mac，开发了iTunes，具有设备配置、第三方软件下载、数据信息备份、多媒体文件播放管理等功能。利用iTunes，能够对iPhone中的配置信息、网络配置信息、应用程序信息、浏览器设置、电子邮件设置、声音设置、个人收藏、最近通话、照片、备忘录、日历、联系人、文字信息等进行自动备份。利用iTunes能够对iOS设备的备份进行创建，同时可以对备份文件进行加密，基于不同的操作系统，备份文件的路径也会不同[1]。在备份文件夹中，文件名的长度通常在40个字符左右，而有扩展名的文件很少，其余大多数文件才是真正的备份文件，是通过hash编码计算，才得到了文件名称。

1.2 越狱后拥有更多权限进行取证

在iPhone当中，为了达到省电、提高系统稳定性、删除文件不产生垃圾等功能，用户只有读的权限，并没有写的权限。而在当前的技术水平下，可以利用手机取证系统来解决越狱的问题。例如，SafeMobile手机取证分析系统，能够对iOS设备进行自动的备份，从而更加快速的提取iOS设备越狱之后的信息，使得用户的操作难度得到了极大的降低。另外，利用该软件还能够通过对iTunes的应用，直接接续iOS设备备份文件，在越狱后，能够支持手机镜像问题，对更多的手机信息进行获取。该软件能够摆脱系统权限的输入，从而更加简单的进行iPhone取证。

2 基于iOS平台的微信应用

2.1 微信的基本概述

微信使腾讯公司在2011年发布的一款社交软件，用户利用微信，可以拥有通过文字、图片、视频、语音等方式与好友进行沟通与互动，除了流量费用以外，不会额外收取其它费用。在微信当中，包含有很多功能，例如QQ邮件、热点新闻、视频聊天、游戏中心、微信支付、QQ离线消息、漂流瓶、腾讯微博、摇一摇、附近的人、多人群聊等多种功能，在沟通交流和信息获取方面，正在发挥着越来越重要的作用。随着微信应用范围的不断扩大，微信取证也成为了手机取证中的一个重要的组成部分，利用SafeMobile软件，能够对微信中包括已经删除的信息进行获取[2]。

2.2 微信的文件路径

在微信的Documents根目录之下，32为编码组成的文件夹十分重要，通过对手机微信号进行MD5校验，能够得到这一文件夹。其中得到的32为编码，与微信的主文件夹相对应。每个微信号都具有唯一性的特点，因此，及时将几个不同的微信账号登录在同一个手机当中，也会出现相应数量的文件夹。在相对应的文件夹当中，会对用户账户中的大部分信息进行囊括，因此在iOS微信分析当中，发挥着至关重要的作用。

3 基于iOS平台的微信数据

3.1 SQLite数据库文件信息

在SQLite关系型数据库管理系统当中，遵循ACID的要求，在一个较小的C库当中存在，是一种共有的领域项目。在SQLite小型数据库当中，具有高效、快速等特点，在 iOS 微信主目录下，Documents/＜MD5（ID）＞/DB/MM.sqlite，其中SQLite数据库就是MM.sqlite，利用SQLite查看器将其打开，就能够进行相应的分析[3]。而在数据库当中，好友列表对应着名为Friend的表。用户通过账户与好友聊天，产生的聊天记录的表名为Chat_＜MD5（用户名）＞，其中每天聊天记录消息都具有相对应的id，就是消息的识别符。

3.2 Plist格式文件信息

在Mac OS X中的GNUstep、NeXTSTEP、Cocoat等编程框架当中，对存储序列化后的对象文件就是属性列表文件。.plist是属性列表文件的文件扩展名。在Plist文件当中，通常是在捆绑信息的储存、用户设置的储存等进行应用。在旧式Mac OS当中，该功能是由资源分支所提供的[4]。在OS X系统中，常见的XML格式文件就是Plist。在苹果的iOS系统的目录结构当中，也存在着很多Plist文件，对QQ好友缓存列表、微信账户信息等进行存储。通过微信查看QQ的好友分组、QQ好友信息、以及微信账户信息等，都是通过Plist文件格式在相应目录中进行存放的。

4 结论

在iPhone、iPad等应用iOS平台的设备中，通过越狱能够对更高的权限进行获取，从而更加便利的拉取相应的信息。以此对硬盘中的信息进行提取，能够更好的实现取证。在实际应用中，在基于iOS平台微信取证当中，可利用iOS平台上微信的存储和目录结构特点，采用相应的方法进行取证，从而实现更好的应用。

[1]乔木，龚俊儒，沈杏林，杨 虎.基于iOS平台的小型仓储管理系统设计[J].计算机与现代化，2014，01：196～200.

[2]崔维，李晖，刘佳佳，王艳娟.基于iOS的企业APP客户端的开发与实现[J].科技创新与应用，2014，24：30～31.

[3]杨蕙馨，王硕，冯文娜.网络效应视角下技术标准的竞争性扩散——来自iOS与Android之争的实证研究[J].中国工业经济，2014，09：135～147.

[4]贺滢睿，陆道宏，李建新，徐云峰.面向iPhone手机的电子数据取证分析[J].信息网络安全，2013，10：87～90.

TP393

A

1004-7344（2016）10-0277-01

2016-3-15