第1章 苹果移动设备的历史 1
1.1 iPod 2
1.2 iPhone的演变 2
1.2.1 ROCKR 2
1.2.2 苹果iPhone 2G简介 3
1.2.3 3G的iPhone 4
1.2.4 iPhone 3G[S] 5
1.2.5 iPhone 4 6
1.3 苹果iPad 6
1.4 内部构造:iPhone和iPad的硬件 7
1.4.1 2G版iPhone的内部构造 7
1.4.2 iPhone 3G的内部构造 9
1.4.3 iPhone 3GS内部构造 11
1.4.4 iPhone 4的内部构造 12
1.4.5 iPad内部构件 13
1.5 苹果App Store应用程序商店 15
1.6 iPhone黑客的兴起 18
1.7 小结 18
第2章 iOS操作系统和文件系统分析 19
2.1 iOS特性的演变 19
2.1.1 iOS 1 19
2.1.2 iOS 2 21
2.1.3 iOS 3 22
2.1.4 iOS 4 23
2.2 应用软件的发展 25
2.3 iOS文件系统 26
2.3.1 HFS+文件系统 26
2.3.2 HFSX 28
2.4 iPhone分区和卷信息 28
2.4.1 OS分区 31
2.4.2 iOS系统分区 32
2.4.3 iOS数据分区 35
2.5 SQLite数据库 37
2.5.1 通讯录数据库 37
2.5.2 短信数据库 37
2.5.3 通话记录数据库 38
2.6 分析数据库 38
2.6.1 提取SQLite数据库中的数据 39
2.6.2 Plist属性列表文件 45
2.6.3 查看Plist属性列表文件 45
2.7 小结 48
第3章 搜索、获取和事件响应 49
3.1 美国宪法第四修正案 50
3.2 通过手机追踪 51
3.3 逮捕中的手机搜查 51
3.4 技术进步和苹果iPhone 52
3.5 如何搜查苹果设备 53
3.6 隔离设备 56
3.7 开机口令 57
3.8 识别越狱的iPhone 58
3.9 收集iPhone中的信息 59
3.10 对iPhone连接过的Mac/Windows计算机进行响应 61
3.11 小结 62
3.12 参考文献 62
第4章 iPhone逻辑获取 64
4.1 从iPhone、iPod Touch、iPad中获取数据 64
4.1.1 使用mdhelper软件获取数据 65
4.2 可用的工具和软件 68
4.2.1 Lantern 68
4.2.2 Susteen Secure View 2 82
4.2.3 Paraben Device Seizure 89
4.2.4 Oxygen Forensic Suite 2010 91
4.2.5 Cellebrite 98
4.3 比较工具和结果 101
4.3.1 购买软件需要考虑的因素 102
4.3.2 Paraben Device Seizure软件的结果 102
4.3.3 Oxygen Forensic Suite 2010软件的结果 102
4.3.4 Cellebrite的结果 103
4.3.5 Susteen Secure View 2软件的结果 103
4.3.6 Katana Forensics Lantern软件的结果 103
4.3.7 有关支持的问题 104
4.4 小结 104
第5章 逻辑数据分析 105
5.1 搭建一个取证工作站 105
5.2 资源库(Library)域 110
5.2.1 通讯录 111
5.2.2 缓存(Caches) 114
5.2.3 通话记录 116
5.2.4 配置概要 117
5.2.5 Cookie 117
5.2.6 键盘 118
5.2.7 日志 120
5.2.8 地图 122
5.2.9 地图历史记录 122
5.2.10 备忘录 123
5.2.11 系统偏好设置 123
5.2.12 Safari浏览器 124
5.2.13 记忆休眠状态 125
5.2.14 短信和彩信 126
5.2.15 语音信箱 128
5.2.16 网络应用程序 129
5.2.17 WebKit 129
5.3 系统配置数据 132
5.4 媒体域(Media Domain) 134
5.4.1 媒体文件目录 134
5.4.2 Photos.sqlite数据库 139
5.4.3 PhotosAux.sqlite数据库 139
5.4.4 语音备忘 139
5.4.5 iPhoto相片 140
5.4.6 多媒体 141
5.5 第三方软件 142
5.5.1 社交网络分析 142
5.5.2 Skype 143
5.5.3 Facebook 145
5.5.4 AOL AIM 146
5.5.5 LinkedIn 146
5.5.6 Twitter 147
5.5.7 MySpace 147
5.5.8 Google Voice 148
5.5.9 Craigslist 151
5.5.10 具备分析和挖掘功能的软件 152
5.5.11 iDisk 152
5.5.12 Google Mobile 153
5.5.13 Opera 154
5.5.14 Bing 154
5.5.15 文档和文档恢复 155
5.6 反取证软件和过程 157
5.6.1 图片储藏库 159
5.6.2 Picture Safe 159
5.6.3 Picture Vault 160
5.6.4 Incognito Web Browser 161
5.6.5 Invisible Browser 162
5.6.6 tigertext 162
5.7 越狱 166
5.8 小结 166
第6章 Mac和Windows计算机中的证据 167
6.1 Mac计算机中的证据 167
6.1.1 属性列表文件 167
6.1.2 MobileSync数据库 168
6.1.3 苹果备份文件的演变 168
6.1.4 密码锁定证书 170
6.2 Windows计算机中的证据 170
6.2.1 iPodDevices.xml 170
6.2.2 MobileSync备份 171
6.2.3 密码锁定证书 172
6.3 苹果移动设备备份文件分析 172
6.3.1 iPhone Backup Extractor 172
6.3.2 JuicePhone 173
6.3.3 mdhelper 175
6.3.4 Oxygen Forensics Suite 2010手机取证套件 176
6.4 Windows的取证工具和备份文件 177
6.4.1 FTK Imager 178
6.4.2 FTK 1.8 178
6.4.3 技巧和诀窍 180
6.5 小结 181
第7章 地理位置信息分析 182
7.1 地图应用程序 182
7.2 图片和视频的地理标记 189
7.3 基站数据 198
7.3.1 GeoHunter 202
7.4 导航应用程序 205
7.4.1 Navigon 206
7.4.2 Tom Tom 209
7.5 小结 210
第8章 媒体注入 211
8.1 什么是数字版权管理(DRM) 211
8.1.1 数字版权管理的法律要素 212
8.1.2 案例分析:手机越狱 214
8.1.3 案例分析:苹果与Psystar 215
8.1.4 案例分析:在线音乐下载 217
8.1.5 案件分析:索尼BMG案件 217
8.1.6 DRM的未来 218
8.2 媒体注入 219
8.2.1 媒体注入工具 219
8.3 验证镜像 225
8.4 小结 227
8.5 参考文献 229
第9章 媒体注入分析 231
9.1 使用Mac分析注入媒体 231
9.2 邮件 234
9.2.1 IMAP 234
9.2.2 POP邮件 235
9.2.3 Exchange 236
9.3 数据恢复(碎片重组) 238
9.3.1 MacForensicsLab 238
9.3.2 Access Data取证分析套件 241
9.3.3 FTK和图片 244
9.3.4 EnCase 249
9.4 间谍软件 252
9.4.1 Mobile Spy 252
9.4.2 FlexiSpy 255
9.5 小结 256
第10章 网络分析 257
10.1 关于证据链的考虑 257
10.2 网络101:基础知识 258
10.3 网络201:高级部分 264
10.3.1 DHCP 264
10.3.2 无线加密和身份认证 265
10.3.3 取证分析 266
10.3.4 网络流量分析 268
10.4 小结 272