Apple TV الطب الشرعي 03: تحليل

0 192

تواصل هذه المشاركة سلسلة من المقالات حول أجهزة Apple المصاحبة. إذا لم تكن قد رأيتهم، فقد ترغب في قراءة Apple TV و Apple Watch Vensics 01: الاستحواذ أولاً. إذا كنت في الطب الشرعي Apple Watch، يمكنك إلقاء نظرة على Apple Watch Virensics 02: التحليل أيضًا. اليوم سوف نلقي نظرة على ما هو داخل Apple TV.

يظهر تحليل السوق الأخير أن شركة Apple قد باعت أكثر من 13 مليون جهاز Apple TV في جميع أنحاء العالم منذ عام 2016. منذ عام 2007، قامت شركة Apple بتصنيع 6 طرازات مختلفة من Apple TV. مثل أي جهاز Apple آخر، يمكن تحديد النموذج بسهولة عن طريق التحقق من الملصق الموجود في الجزء السفلي من الجهاز.

يحتوي الجيل الأول من Apple TV (طراز A1218) على قرص صلب عادي يمكن استخراجه وصورته باستخدام نهج تقليدي. نظام التشغيل هو نسخة معدلة من نظام التشغيل ماك أوس X 10.4 (النمر). تم تقديم شرح مفصل حول كيفية التعامل مع هذا النوع من الأجهزة في ديفكون 2009 من قبل كيفن استس وراندي روبنز (العرض التقديمي متاح هنا بينما الفيديو متاح هنا).

تلفزيون أبل من الثانية (نموذج A1378) إلى الجيل الرابع (A1625) لديها وحدة تخزين داخلية NAND تتراوح من 8 غيغابايت (A1378 - A1427 - A1469) إلى 32 أو 64 جيجابايت (A1625). تتميز هذه الطرازات أيضًا باتصال منفذ USB (USB صغير أو USB-C). يتيح توفر منفذ USB توصيل الجهاز بكمبيوتر/ماك. ويمكن لخبراء الطب الشرعي استخدام الميناء لاستخراج البيانات. أزالت أبل اتصال أوسب في أحدث، الجيل الخامس أبل تف (أبل تف 4K، نموذج A1842)، مما يجعل من الصعب توصيل واستخراج البيانات.

والخبر السار من منظور الطب الشرعي هو أن هذا النوع من الأجهزة لا يمكن أن تكون محمية مع رمز مرور، على عكس اي فون، آي باد أو أبل ووتش. الأخبار السيئة هي أن خدمة النسخ الاحتياطي المتوفرة على iPhone وعلى iPad مفقودة على Apple TV. من المفترض أن يكون منفذ USB منفذ «الخدمة والدعم». الغرض المقصود منه هو استعادة أو تحديث نظام التشغيل من خلال الكمبيوتر. من خلال توصيل Apple TV بجهاز كمبيوتر مثبت عليه iTunes، يمكن للمرء الوصول إلى معلومات مثل الرقم التسلسلي و UDID للجهاز. كما هو موضح في مشاركة المدونة السابقة على اكتساب Apple TV، تتوفر دائمًا ثلاث طرق للاقتناء:

معلومات الجهاز (الخيار «I» في إلكومسوفت دائرة الرقابة الداخلية أدوات الطب الشرعي)

اسم الجهاز

رقم الموديل

الرقم التسلسلي

إصدار نظام التشغيل

أوديد

عنوان MAC Wi-Fi

عنوان MAC إيثرنت

عنوان MAC بتقنية البلوتوث

التاريخ والوقت

المنطقة الزمنية

لغة

معلومات قسم البيانات (الحجم، استخدام القرص، المساحة المتوفرة)

قائمة مفصلة للتطبيق المثبت (اسم الحزمة، إصدار الحزمة)

بروتوكول أفك (أبل ملف القناة) (الخيار «M» في إلكومسوفت دائرة الرقابة الداخلية أدوات الطب الشرعي)

مجلد DCIM، ربما يحتوي على صور متزامنة من خلال iCloud

مجلد الصور المصغرة، وربما تحتوي على الصور المصغرة للصور التي تمت مزامنتها من خلال iCloud

MediAlibrary.SQLiteDB، التي تحتوي على معرف حساب المستخدم iCloud وقاعدة بيانات التسوق على متجر iTunes

Photos.sqlite، قاعدة بيانات تحتوي على معلومات حول الصور

سجلات (الخيار «L» في إلكومسوفت دائرة الرقابة الداخلية أدوات الطب الشرعي)

سجل Sysdiagnose، التي يمكن إنشاؤها على Apple TV 4 و 4K باتباع التعليمات المتوفرة على موقع Apple Developer على الويب (تسجيل الدخول مطلوب، ولكن لا يلزم حساب مطور Apple)

سجلات الأعطال، ربما تحتوي على معلومات حول استخدام التطبيق

سجلات Wi-Fi، التي تحتوي على معلومات حول شبكة Wi-Fi التي تم توصيل Apple TV بها

للحصول على شرح مفصل حول كيفية تحليل هذه الملفات يمكنك قراءة بلدي بلوق السابقة على تحليل أبل ووتش: هيكل قواعد البيانات (Medialibrary.SQLiteDB و Photos.SQLite) وسجلات Sysdiagnose متماسكة بين تلك الأجهزة. علاوة على ذلك، يمكن استخراج syslog في الوقت الحقيقي من أي طراز Apple TV باستخدام أداة iBackup Bot، أو باستخدام Apple XCode.

لا يتميز Apple TV 4K (طراز A1842) بمنفذ USB، وبالتالي فإن الاتصال المباشر غير ممكن. يمكنك الاتصال عبر Wi-Fi باستخدام جهاز Mac. يتوفر أيضًا توليد بيانات sysdiagnose على Apple TV 4K؛ يمكن مزامنته مع macOS من خلال XCode. على الرغم من أن Apple لم يتم توثيقها بالكامل، إلا أن بعض المعلومات متوفرة هنا على موقع Apple Forum Developer (الوصول المقيد).

كما هو موضح في مقالة اقتناء Apple TV، يعد الجهاز خيارًا متاحًا لإصدارات مختلفة من TVOS، نظام التشغيل Apple TV. يمكنك أن تجد هنا قائمة مفصلة من الهروب من السجن المتاحة لتلفزيون أبل. بمجرد أن يكون لديك جهاز jailbroken، يمكنك الوصول إلى نظام الملفات. فيما يلي قائمة ببعض المعلومات الأكثر إثارة للاهتمام التي يمكنك العثور عليها.

معلومات النظام

استئجار شبكة TCP/IP

المسار: /Private/فار/ديسب/دكبكلينت/التأجير/

سجل شبكة Wi-Fi

المسار: /خاص/فار/تفضيلات/سيستمكونفيونغ/com.apple.wifi.plist

حسابات

المسار: /Private/VAR/الجوال/المكتبة/حسابات/الحسابات3.sqlite

معلومات الاستخدام

اللوح الأمامي

المسار: /بريفاتي/فار/موبايل/مكتباري/com.Apple.اللوح الرئيسي/

يسرد هذا المجلد ترتيب التطبيق على لوحة الرأس (Auder.plist) ويحتوي على أيقونات ذاكرة التخزين المؤقت المقترنة (المجلد الفرعي com.apple.tviconScache)

يتم تخزين ذاكرة التخزين المؤقت اللوح الأمامي في/Private/VAR/Mobile/Library/Caches/com.apple.اللوح الأمامي

TVورق الجدران

المسار: /خاص/فار/الجوال/المكتبة/تفبير/

يحتوي المجلد على خلفيات Apple TV

الملفات والمجلدات الأخرى ذات الصلة التي يمكنك العثور عليها هي:

مجلد التفضيلات (المسار: /Private/VAR/Mobile/Library/تفضيلات/)، يحتوي على ملف تفضيلات مختلفة بتنسيق بليست

مجلد التفضيلات المتزامنة (المسار: /Private/VAR/Mobile/Library/SyncedPreferences/)، التي تحتوي على ملف تفضيلات مختلفة بتنسيق بليست متزامنة من الأجهزة الأخرى المرتبطة بنفس حساب iCloud. الملفات الأكثر صلة هي apple.wifid.plist (شبكات واي فاي) و com.apple.nanoweatherprefsd.plist (معلومات الطقس)

مجلد سجلات التثبيت المحمول (المسار: /Private/VAR/Mobilary/MobileInstallation/)، التي تحتوي على معلومات حول التطبيقات المثبتة. ويمكن تحليلها مع «سجلات تركيب المحمول محلل» من قبل أليكسيس بريغنوني. هذا المجلد متاح أيضا في اكتساب sysdiagnose.

مجلد سجلات التنشيط المتنقلة (المسار: /Private/VAR/Mobilary/Logs/MobileActivationd/)، الذي يحتوي على معلومات حول تنشيط الهاتف المحمول وترقيات نظام التشغيل. ويمكن تحليلها مع «تفعيل الهاتف النصي» من قبل Cheeky4N6Monkey. هذا المجلد متاح أيضا في اكتساب sysdiagnose.

مجلد سجلات إدارة الحاويات المتنقلة (المسار: /Private/VAR/موبايل/مكتبة/موبيليكونتينيرماناجر/و /بريفاتي/فار/روت/سجلات موبايلكونتينرماناجر/)، التي تحتوي على معلومات حول حاويات الجوال. ويمكن تحليلها مع «مدير الحاويات المتنقلة» السيناريو من قبل Cheeky4N6Monkey. هذا المجلد متاح أيضا في اكتساب sysdiagnose.

قاعدة بيانات المعرفة (المسار: /Private/VAR/الجوال/المكتبة/Coreduet/المعرفة/المعرفة)

قاعدة بيانات نيتوسيج (المسار: /الخاص/فار/شبكة/netusage.sqlite)

قاعدة بيانات إنتيراكتينك (المسار: /بريفاتي/فار/موبايل/مكتبة/كوردويت/الناس/Interactionc.db)

Cache_EncrypteDB و Cache_Encryptedc قواعد البيانات (مسار /Private/فار/جذر/مكتبة/ذاكرة مخبضات/موقع/)

تطبيقات الجهات الخارجية

يمكن تثبيت تطبيقات الجهات الخارجية على Apple TV من App Store.

توجد حزم من التطبيقات المثبتة في/Private/VAR/حاويات/حزمة/تطبيق

يتم تخزين بيانات التطبيق طرف ثالث في/Private/VAR/الجوال/الحاويات/البيانات/التطبيق

يحتوي كل تطبيق على مجلد خاص به لتخزين الإعدادات والبيانات. في الصورة التالية، يمكنك رؤية مثال تطبيق «Facebook TV».

Apple TV وبيانات الموقع: صور iCloud والصور المصغرة و EXIF

الشيء الوحيد الذي أود تسليط المزيد من الضوء عليه هو iCloud Photos. إنه أكثر أهمية بكثير مما قد يبدو. أثناء الوصول إلى صور iCloud من الكمبيوتر يتطلب معرف Apple وكلمة المرور الخاصة بالمستخدم (وربما الوصول إلى عامل المصادقة الثاني)، قد يكون لدى Apple TV الصور المصغرة المخزنة في المربع. يحدث هذا تلقائيًا إذا كان المستخدم يقوم بمزامنة الصور مع iCloud.

ومن المثير للاهتمام أن الصور المصغرة التي تمت مزامنتها مع Apple TV لا تزال تحتوي على معلومات EXIF كاملة. إنها نفس البيانات الوصفية التي يتم تخزينها في صور كاملة الحجم. قد يحتوي EXIF (وعادة ما يفعل) على معلومات الموقع إما مباشرة في الصورة أو في قاعدة بيانات Photos.SQLite.

الصور الكاملة موجودة إذا وفقط إذا فتح المستخدم الصورة على Apple TV (وهذا يعني أنه تم تنزيل الصورة).

أبل التلفزيون كيشاين

بالإضافة إلى صور iCloud، يمكن لـ Elcomsoft iOS أدوات الطب الشرعي استخراج سلسلة المفاتيح من أجهزة Apple TV. غالبًا ما يتم تجاهل سلسلة مفاتيح Apple TV. أنه يحتوي على معلومات أقل بكثير مقارنة مع سلسلة المفاتيح دائرة الرقابة الداخلية يرجع ذلك إلى حقيقة أن أبل تف لا مزامنة إكلود كيشاين (يتطلب إكلود كيشاين الجهاز أن يكون رمز مرور لمزامنة، والتي تفتقر أجهزة أبل تف). ومع ذلك، لا تزال سلسلة مفاتيح Apple TV تحتوي على كلمات مرور Wi-Fi وتخزن رمزًا مميزًا للمصادقة على حساب iCloud الخاص بالمستخدم. استخراج هذا الرمز يسمح للخبراء الوصول إلى حسابات iCloud غير 2FA مع قيود قليلة جدا (مع Elcomsoft Phone Caker)..

شكر وتقدير

أود أن أشكر كلوديا ميدا التي ساعدتني كثيرا مع أبحاث أبل تف العام الماضي. إنها تتغريد بانتظام عن أخبار وأحداث الطب الشرعي.

خاتمة

إذا كان بإمكانك استخراج نظام الملفات الخاص بـ Apple TV 4 أو 4K، فستتمكن من الوصول إلى مجموعة كبيرة من البيانات. عدد قليل جدا من القطع والقطع لها أهمية الطب الشرعي. يمكن أن يوفر تحليل Apple TV وصول الفاحص إلى ثلاثة مصادر مختلفة للمعلومات:

حياة واستخدام Apple TV نفسه؛

البيانات السحابية مثل الصور المتزامنة ومقاطع الفيديو؛

بيانات الموقع المستخرجة من الصور المصغرة المتزامنة (صور iCloud)؛

التفضيلات التي تمت مزامنتها من خلال iCloud (شبكات Wi-Fi، الطقس وما إلى ذلك).

ونحن نعتبر أبل تف «الفاكهة المعلقة منخفضة» كما (على عكس اي فون) الجهاز لا يمكن أن تكون محمية مع رمز مرور. توصيل أحدث طراز (Apple TV 4K) هو أكثر صعوبة بسبب عدم وجود منفذ USB؛ يجب على المرء استخدام Xcode لإنشاء اتصال لاسلكي.

العلامات: أبل التلفزيون، كيميرا، إيفت، إلكومسوفت دائرة الرقابة الداخلية أدوات الطب الشرعي، اقتناء نظام الملفات، الهروب من السجن، الاستحواذ المنطقي، تفوس

تم نشر هذا الإدخال

يوم الأربعاء, سبتمبر 4, 2019 في 1:05 مساء ويودع تحت هل تعلم أن...? , نصائح والخدع.

يمكنك متابعة أي ردود على هذا الإدخال من خلال تغذية RSS 2.0.

يتم إغلاق كل من التعليقات وpings حاليًا.

بواسطة ماتييا إيبيفاني في 2019-09-04 13:05:34 مصدر إلكومسوفت بلوق:

Apple TV Forensics 03: Analysis

احصل على إشعارات فورية مباشرة على جهازك ، اشترك الآن.

تعليقات
جار التحميل...

يستخدم موقع الويب هذا ملفات تعريف الارتباط لتحسين تجربتك. سنفترض أنك موافق على هذا ، ولكن يمكنك إلغاء الاشتراك إذا كنت ترغب في ذلك. موافق قراءة المزيد