大家好！我是万兴科技程勋德。安全圈万兴科技并不出名，因为我们比较低调，我们主要是一家消费类软件研发、销售及提供相应技术支持的公司，而且主要营收在海外。但是我们公司自从去年上市之后就定下了要回归国内的战略，以前我们很低调，现在开始不低调了，低调太吃亏！可能更多参与类似看雪这种技术交流中去，与安全专家直接面对面交流，了解当前和未来的安全行业发展方向，同时也提高一下公司知名度。

我今天的议题主要是讲云取证，比如怎样从iCloud云端把iPhone手机里的数据提取出来，或者通过Google Cloud获取到Android手机以及Chrome Youtube等等的数据。

一、取证现状

以前一般取证有三种方式，第一种是直接用很底层硬件厂商提供的JTag调试接口进行数据读写，但是这种方式比较贵，一台德国的设备要十几万。另外也不是所有设备都有这接口，而且这几年就算能够读取到数据，还是有个问题，现在iPhone和Android都开启了全盘加密，导致读取到的数据是加密的，价值也不大。第二种是物理读取，例如ipbox2盒子就能提取苹果手机的数据，通过物理方式把数据读取出来，但是这个读取出来也是全盘加密的，没什么用。第三种是普通读写，普通读写得有解锁密码才行，并且现在苹果手机、安卓手机普通读写，由于权限问题，有很多数据也读取不到。

二、云取证优缺点

今天讲讲云取证，除了这三种方法之外的新数据取证方法。我不是说前面的三种方式不行，其实云数据取证也有不少问题，只能在实际应用场景中，按照不同的需求，采用不同的方式，云取证可以作为一个有力补充。现如今iCloud，Google Cloud等等云端上的数据越来越多，已经成为取证不可忽视的一块。

左侧列出来的是优点，云数据类型非常多，我不一一的讲了。但也有缺点，缺点就是现在云取证都开始开启二步验证，获取数据越来越困难，而且云取证接口是各个厂商自己定制的私有接口，导致协议都是不一样的。

三、移动云的生态系统

目前主流的手机要么是安卓、要么是苹果，这两家最大。我们万兴主要是做海外市场的，所以我们主要的关注点是iCloud和Google Cloud，国内可能有小米的、华为的、三星的，但我们目前就做了这两个云。我介绍一下它们之间的区别，可能有些人不是很熟悉。

iCloud开启同步、备份之后，你所有的数据都会上传到云端，包括联系人、收藏夹等等，你想到的数据它基本都传上去了。PC时代取证很容易，把硬盘拆下来，直接物理读取就能访问到数据。但是PC时代数据少，现在云数据取证，数据多了很多。iCloud分为两大块，Backup和Sync。Backup开启之后会将整个iOS设备的磁盘镜像到云端，这个镜像通过icloud.com是看不到的，只能用工具看到大概是什么日期做了备份，没有web或者app能够看到备份的详细数据类型，其实它把你整个硬盘都备份到云端去了。

还有Sync同步，这个大家基本都有所了解，就是登陆到icloud.com上就能看到的数据，比如联系人，照片之类的。不过还有很多数据看不到，比如iMessage聊天记录，keyChain一类的。总之，如果你用iPhone，在手机激活之后，并登陆iCloud帐号之后，里面默认已经包含了非常多的数据类型，会即时同步到iCloud的云端。

还有Google Cloud，由于国内大部分厂商都给它做了定制，导致Google Cloud在国内用处不是很大，但是在国外，Google Cloud是比较主流的移动数据同步云。Google Cloud的备份Backup数据种类较少，作用不大，但是同步的数据种类非常之多，只要你用谷歌系的APP，安卓手机也算、Chrome，youtube也算，历史位置信息等等，信息收集非常之详尽，就拿历史位置信息来举例，收集的信息甚至包括了现在是在地铁中，还是在私家车，或者自行车上非常详细，这些数据被无关人员获取到的的话那基本相当于在网络中裸奔了。Google Cloud收集的数据，起码有五六十种以上的数据。分成好几类。

四、二步验证问题

获取云数据不得不提的一个问题是二步验证，iCloud和Google Cloud目前在登陆的时候都会弹出二步验证框，避免不受信任的第三方登陆，我们取证时必须要想办法绕过这个步骤。目前我们的解决方案是从曾经登陆过的PC/Mac或者浏览器中提取历史记录，历史记录中保存了无需二步验证的Token，用这个保存的Token再去向云端发送请求，就不会有二步验证了。

大概取证的思路是怎样？首先iCloud和Google Cloud经过多年发展，有一套非常健全的安全机制和授权机制，如果直接硬怼iCloud或者Google Cloud是一件非常困难的事情，目前硬怼iCloud或者Google Cloud除了使用漏洞基本没有太好的办法，但是漏洞是可遇而不可求的，所以我们的思路看看能不能曲线救国。人是社会化的动物，个人拥有的设备也不一定只有iPhone或者Android手机，常见的还有PC/Mac设备。如果我们能够从其他设备入手，会不会让事情变得简单？起码找到一种能够提取数据的方案？

五、如何解决授权问题

刚才说到云数据云取证，有一个无法绕过的问题是如何解决授权问题？如果按照正常的步骤，需要获取iCloud中的数据，除了有账户和密码之外，还需要有一台可信的设备，或者手机号，用户接手二步验证码，这个条件是比较苛刻的，在实际取证环境，受限于现场条件，要达到这个条件是很困难的。那么如何在无授权的情况下获取手机数据，只有解决了授权获取问题，才对取证有价值。

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课