对于iOS设备而言常规的数据获取手段是通过使用iTunse进行数据备份或者尝试对手机进行越狱从而获取其文件系统。无论使用以上哪种方法虽然可以得到设备中如App数据、基础数据等绝大多数内容,但依旧会错失一些非常重要的数据这其中就包括今天的主角“sysdiagnose系统诊断日志”,这些日志数据虽然不会包含实质性的用户数据,但在案件侦查中或许能起到关键作用。
系统诊断日志获取
不同于手机在正常使用过程中产生的Crash Log(崩溃日志)会被日志系统自动保存记录。Sysdiagnose(系统诊断日志)不是由操作系统自动记录的,必须由用户手动触发才可生成,日志的生成方法有以下两种方式:
1. 组合按键
手机开机状态下,同时按住音量上+音量下+电源键1-2秒钟,当感觉到手机发出震动的时候松开全部按键即可生成系统诊断日志。当然一次尝试有可能会失败,需反复重复以上操作直至成功。
(音量上+下+电源键)
2. 辅助触控
除了使用上述组合按键的方式还可以借助手机端的“辅助触控”功能生成系统诊断日志。具体的操作步骤需在手机端完成,具体如下:
设置-辅助功能-触控-轻点两下-分析。当“触控”功能被激活后桌面上会出现辅助触控的“小圆点”。此时可点击两次系统便会自动收集诊断日志并储存。
(辅助触控功能激活)
判断是否成功生成系统诊断日志需转至手机端,设置-隐私-分析与改进-分析数据中查看。系统诊断日志的文件名类似于“sysdiagnose_2022.03.10_11-50-54+0800_iPhone-OS_iPhone_19E241.tar.gz”系统诊断日志与崩溃日志存储在同一位置(/DiagnosticLog/sysdiagnose)。通过文件名可知该诊断日志的获取时间为“2022年3月10日11:50:54”,设备类型为“iPhone设备”,系统的安装版本为“19E241即iOS 15.4”。
(诊断日志)
3. 日志文件的导出
前文提到系统诊断日志与崩溃日志在同一位置存储,可通过获取崩溃日志的方式连同系统诊断日志一并获取。最简单的办法是使用macOS或者PC下的iTunes软件进行“同步”,同步过程结束后即可自动将诊断日志导出至电脑端。操作系统的不同,日志文件的存储位置有所差异:
-
macOS:
/Users/<username>/Library/Logs/CrashReporter/MobileDevice/[Device_Name]/
-
Windows:
C:Users<username>AppDataRoamingAppleComputerLogsCrashReporterMobileDevice[Device_Name]
(iTunes同步)
使用iTunes进行同步的方式最为简单,当然还可以使用“libimobiledeice下的idevicecrashreport指令”、“Elcomsoft iOS Forensic Toolkit取证软件”、“Xcode开发工具”等均可获取到系统诊断日志。
系统诊断日志结构
诊断日志中记录了大量系统相关的数据,根据官方的开发文档显示大约有71种不同类型的数据包含其中。这其中虽然大多不包含用户数据但对于取证而言依旧非常重要调查员需仔细阅读官方的开发文档。Sysdiagnose日志文件本质是个tar.gz压缩文件,可使用解压软件进行解压即可阅读。
(诊断日志结构)
系统诊断日志分析
1. sysdiagnose.log
在解压后的根目录下sysdiagnose.log文件记录了此系统诊断日志的创建时间以及系统诊断日志的创建过程。
(诊断日志信息)
2. Disk.txt
根目录下的Disk.txt文件用于记录当前设备上的分区情况,其中可获取到手机上各个分区的大小及使用情况。
(分区信息)
3. logs/AppConduit/AppConduit.log
此文件用于记录已配对过的设备与该手机间的同步数据,图中可以看到该手机与AppleWatch进行的同步信息。
(同步数据)
4. logs/Accessibility/TCC.db
TCC.db为SQLite数据库文件,用于记录应用程序权限。图中所示“com.tencent.xin”为iOS版微信的包名,在当前系统下为其赋予的权限,如读取电话本、蓝牙、FaceID、相机等权限。
(应用权限)
5. logs/MobileInstallation/Mobile_installation.log
此日志文件中可获取到手机App的安装情况,其中“Install Successful”表示App安装成功,另外可从中获取到App的路径。
(应用安装)
6. WiFi/bluetooth.txt
此文件可获取到蓝牙的连接记录,这些信息对于取证而言或许十分有用。每条连接记录中会记录对方的名称以及地址等数据。图中红框部分为本机的蓝牙信息,绿框为蓝牙连接记录。
(蓝牙信息)
7. WiFi/com.apple.wifi.know-network.plist
该plist属性文件中包含设备之前连接过的Wi-Fi网络信息。比如SSID、BSSID、最后加入时间、最后自动加入时间等重要信息。
(Wi-Fi信息)
当然系统诊断日志中还包含很多有价值的数据,包括AirDrop信息、电源日志等内容将在以后的文章中继续分享,敬请期待!
— 往期回顾 —
2022.03.11
2022.02.08
原文始发于微信公众号(天鉴科技):【移动终端取证】iOS系统诊断日志分析(1)
