张厚宝

摘要：随着信息化在全球飞速发展，智能终端设备已经成了人们日常生活工作中不可或缺的组成部分。但是随之而来的网络犯罪也是逐年攀高。其中，IOS智能终端中的易信App由于界面简洁，操作方便，因而具有大量的用户使用它。因此，针对该App，提出一种取证分析方法，对于预防网络犯罪，具有十分重要的理论与现实意义。

关键词：手机取证;易信

中图分类号：TP393      文献标识码：A      文章编号：1009-3044（2018）31-0189-04

Forensic Analysis Method of YiXin App in IOS Intelligent Terminal

ZHANG Hou-bao

（The Third Research Institute of Ministry of Public Security， Shanghai 201204， China）

Abstract： With the rapid development of information technology in the world， intelligent terminal equipment has become an indispensable part of peoples daily life. But the cyber crime that comes with it is rising year by year. Among them， the YiXin App in IOS smart terminal has a large number of users because of its simple interface and convenient operation. Therefore， a forensic analysis method is proposed for the App， which is of great theoretical and practical significance for the prevention of cyber crime.

Key words： mobile phone forensics; YiXin App

2004年，苹果公司召集了1000多名內部员工组成研发iPhone团队，开始了被列为高度机密的项目，订名为“Project Purple”，当中包括iPhone的幕后设计师Jonathan Ive。当时苹果公司的首席执行官史蒂夫·乔布斯从原本的重点如iPad的平板电脑偏离至转向手机。苹果公司跟AT&T秘密合作创造了一些硬件和软件设备，在30个月动用了约$1.5亿美元。作为交换条件，苹果公司保证在4年内，在美国出售的iPhone将交由AT&T独家发售。在2007年6月11日的苹果公司全球软件开发者年会上，时任苹果公司首席执行官乔布斯公布iPhone将会支持第三方应用程序Ajax，用以分享iPhone界面的外观。2007年10月17日，乔布斯在苹果公司"热点新闻"的日志中张贴一封公开信，公布于2008年2月将会提供一个软件开发工具包 （SDK）予第三方软件开发者。当开发者把程序提交到应用程序商店，苹果公司将持有严格控制权。应用程序商店让用户浏览及下载应用程序，根据不同情况，用户可免费或付款购买再下载到iOS设备中，亦可通过iTunes下载到电脑。如今，以iPhone为代表的IOS智能终端已经拥有了大量用户。

易信是由网易和中国电信联合开发的一款能够真正免费聊天的即时通讯软件，独特的免费电话、高清聊天语音、免费海量贴图表情及免费短信及电话留言等功能，让沟通更加有趣。易信支持跨通信运营商、跨手机操作系统平台，可以通过手机通讯录向联系人免费拨打电话以及发送免费短信，向手机或固定电话发送电话留言，同时，也可以向好友发送语音、视频、图片、表情和文字。此外，还可以通过“朋友圈”拍照记录生活，上传文字、图片与好友们分享自己的近况。易信支持Wi-Fi、2G、3G和4G数据网络，目前支持iPhone、Android等手机系统版本，以及Windows PC平台。2015年6月，易信正式上线3.5版本，适配Apple Watch，上线首日App Store社交榜首。2015年7月7日，易信免费通话功能强势登陆WP平台。由于易信的诸多特点，具有广大的使用群体。

随着移动通信技术所提供服务水平和服务种类的不断提高和扩充，手机已日益成为人们工作生活中不可或缺的联系工具，然而与此同时，利用手机进行诈骗、诽谤和伪造等犯罪活动也屡见不鲜。手机取证正是打击这类犯罪的一个有效手段。从概念上讲，手机取证就是从手机SIM卡、手机内/外置存储卡以及移动网络运营商数据库中收集、保全和分析相关的电子证据，并最终从中获得具有法律效力、能被法庭所接受的证据的过程。因此，在IOS智能终端中针对易信提出一种有效的取证分析方法，具有很重要的意义。

1 手机取证基本流程

手机取证一般分为以下六个流程：准备阶段、现场勘查、证据获取、证据固定、数据分析、生成报告。具体如图1所示。

1）准备阶段：即调查机构在受理案件时充分收集案件现场详情，全面了解可能与案件相关的电子证据材料，并且根据掌握的现场电子证据相关情况以及可能存在的电子证据进行证据固定或现场数据提取工作制订方案，准备可能用到的电子取证设备。

2）现场勘查：是电子取证最重要的一步，未按严格的流程而取得的证据很难具有法律效应。取证人员在进入现场后，应迅速封锁现场，隔离人、机、物品，保护电子证据物品譬如存储卡、手机等电子设备。

3）证据获取：电子证据非常脆弱，很容易遭到破坏，因此，在收集的过程中，应当由专业的取证人员或请电子取证鉴定机构或公司的专业人员进行收集或提供专业咨询，保证电子设备储存的内容不被破坏。对于易信取证而言，主要是获取IOS智能终端中涉及易信的相关数据。

4）证据固定：在收集证据的过程中以及取证完成后，取证人员应当及时记录涉及到的每一个设备的基本信息、收集的时间、地点、数据来源、提取的过程、使用的方法、操作人以及见证人并签字。

5）数据分析：在完成上述步骤后，取证人员会根据案件的诉求进行数据分析，以找到关键的证据或线索。对于易信取证而言，主要是分析易信App的账号信息、好友和群基本信息以及聊天信息等。

6）生成报告：取证人员在取证完成后，需要对整个取证分析过程生成一个完整的报告。报告中所记录事项的原则包括合法性、可采性，结论有完整的证据链可进行印证。

2 易信文件系统分析

使用“取证先锋--综合手机取证软件”取证iPhone手机的文件系统，经分析，在文件系统中/private/var/mobile/Containers/Data/Application/87E18742-71AB-4112-8366-56A81EEDDF89目录即为易信App数据存放的目录，如图2所示。

对于该目录下的各级文件进行分析可知，在/Documents/115908711目录下存在core_user_v1.dat和msg2.db两个对于易信取证而言有效的文件。

对于core_user_v1.dat文件进行分析可知，该文件存储有易信的主账号、群账号昵称等信息;对于msg2.db文件进行分析可知，该文件存储有易信的好友账号、聊天消息等信息。

3 易信数据取证分析

3.1 主账号及昵称取证

3.1.1 主账号取证

经过对易信文件系统的分析可知，找到/Documents目录下纯数字的文件夹，比对该文件夹名称和易信App的主账号可知，该文件夹的名称即为主账号。

3.1.2 主账号的昵称取证

该信息均存储在core_user_v1.dat文件中。Winhex打开该文件后，utf-8编码。在其中搜索主账号昵称“欧氏爱粉六”，找到信息如图3所示。

分析该段数据，发现如下规律：

1） 该段数据以主账号的账号（115908711）数据（MainAccountData）开始。

2） 该段数据中存在唯一的一段数据（UniqueData），如下图有颜色区域所示。

该段数据由黄色区域数据+紅色区域数据+蓝色区域数据+绿色区域数据组成。其中红色区域数据代表主账号对应十六进制数据的总长度，绿色区域数据代表主账号对应十六进制数据。

3） 主账号昵称“欧氏爱粉六”前面存在一串规律数据（NickNameUniqueData，经验证，主账号和好友账号均存在如下规律），如下图有颜色区域所示。

该段数据由黄色区域数据+红色区域数据+绿色区域数据组成。其中红色区域数据代表主账号昵称对应十六进制数据的总长度。

对以上规律分析可知，易信主账号昵称的取证步骤为：

1） 根据规律1可知，先读取整个dat文件数据，在其中查找主账号对应十六进制数据的位置。

2） 根据规律2可知，从该位置后，读取和UniqueData等长的数据TestUniqueData。若TestUniqueData等于UniqueData，则进入步骤三，否则在剩下来的数据中循环寻找该段数据，直到找到该段数据为止。

3） 根据规律3可知，从该位置以后的数据中匹配NickNameUniqueData，从而解析出主账号昵称。

3.2 群取证

3.2.1 群账号取证

群账号信息在msg2.db文件的msglog数据库表中。使用sql语句select * from msglog where msg_type='2' group by id即可取证出各群的群账号。

3.2.2 群昵称取证

该信息均存储在core_user_v1.dat文件中。Winhex打开该文件后，utf-8编码。在其中搜索各群的群账号和昵称，找到信息如图6所示。

经分析，群信息以校验位tinfo（其对应十六进制编码为0x74， 0x69， 0x6E， 0x66， 0x6F）开始，每个群的信息如图7所示。

分析该段数据，发现规律为：该段数据由黄色区域数据（GroupUniqueData）+红色区域数据+蓝色区域数据+绿色区域数据+灰色区域数据组成。其中黄色区域数据（GroupUniqueData）代表群号+1200000001000000 +群号长度+00+群号，蓝色区域数据代表群昵称长度，灰色区域代表群昵称。

根据以上规律可知，群昵称取证的步骤为：

1） 找到tinfo所在的位置。

2） 在该位置以后读取一定数据，在其中寻找GroupUniqueData数据的位置。

3） 找到GroupUniqueData数据的位置后，根据以上规律解析出群昵称。

3.2.3 群成员账号取证

该信息均存储在core_user_v1.dat文件中。Winhex打开该文件后，utf-8编码。在其中搜索各群的群成员账号，找到信息如图8所示。

经分析，群成员账号以校验位tlist（其对应的十六进制编码为0x74， 0x6C， 0x69， 0x73， 0x74）开始。其中，每个群成员账号的信息如图9所示。

分析该段数据，发现规律为：该段数据由黄色区域数据（GroupMemberUniqueData）+红色区域数据+绿色区域数据+灰色区域数据组成。其中黄色区域数据（GroupMemberUniqueData）代表0E000000+01000000+群号长度+00+群号+02000000，红色区域数据代表群成员账号长度，灰色区域数据代表群成员账号。

根据以上规律可知，群成员账号取证的步骤为：

1） 找到tlist所在的位置。

2） 在该位置以后读取一定数據，在其中寻找GroupMemberUniqueData数据的位置。

3） 找到GroupMemberUniqueData数据的位置后，根据以上规律解析出群成员账号。

3.2.4 群成员昵称取证

该信息均存储在core_user_v1.dat文件中。Winhex打开该文件后，utf-8编码。在其中搜索各群的群成员昵称，找到相关信息，并分析发现，其取证规律与主账号昵称取证规律一致。因此，群成员昵称取证流程可以复用主账号昵称取证的流程。

3.3 好友取证

经分析，好友账号信息存储在msg2.db文件的msglog数据库表中。该表中id不等于群账号的id为好友账号。而好友的昵称信息均存储在core_user_v1.dat文件中。Winhex打开该文件后，utf-8编码。在其中搜索好友的昵称，找到相关信息，并分析发现，其取证规律与主账号昵称取证规律一致。因此，好友昵称取证流程可以复用主账号昵称取证的流程。

3.4 聊天消息取证

经分析，所有的好友聊天和群聊天消息均存储在msg2.db文件的msglog数据库表中。

聊天消息类型通过msglog数据库表的msg_content_type字段来区别，具体如表1所示。

聊天消息发送者的账号信息可以通过msglog数据库表的msg_from_id字段来确定。

4 结束语

现如今，以iPhone为代表的IOS智能终端已经拥有了大量用户。且IOS智能终端内拥有大量开发者开发的第三方应用程序。其中易信是由网易和中国电信联合开发的一款能够真正免费聊天的即时通讯软件，独特的免费电话、高清聊天语音、免费海量贴图表情及免费短信及电话留言等功能，让沟通更加有趣。由于易信的诸多特点，具有广大的使用群体。因此在IOS智能终端中针对易信提出一种有效的取证分析方法，具有很重要的意义。

该文通过对易信文件系统的分析，提取出其中有效的取证文件，并通过对其二进制格式或数据库表进行分析，找出了易信主账号、群、好友和聊天消息数据存储的规律，进而实现了易信取证的方法步骤。并且由于IOS智能终端中的其他App的数据存储格式很多也是数据库表或者二进制文件格式，因此该文针对易信取证分析的方法对于其他App的取证也是具有借鉴的作用与意义的。

参考文献：

[1] Wang X Q. How to discover the truth in data[J]. China Information Security， 2009（11）： 23-24.

[2] Neal L. Bringing big analytics to the masses[J]. Computer， 2013， 46（1）： 20-23.

[3] King C， Vidas T. Empirical analysis of solid state disk data retention when used with contemporary operating systems[J]. Digital Investigation， 2011（8）： 111-117.