編者按：在手機電子數據取證領域，針對iPhone手機的取證一直都是行業關注的焦點。自從iOS9系統發布以來，新版本系統的iPhone手機已很難通過越獄來直接提取解析或者拷貝原始數據，給手機電子數據取證帶來難題。本期，數據恢複四川省重點實驗室科研人員将介紹，如何利用iTunes官方備份方式獲取iPhone手機備份數據，并對其進行解析提取。

一、背景介紹

在全球智能手機市場上，iPhone手機長期位居市場前列。根據全球市場研究機構TrendForce官網發布最新報告顯示，2016年第二、三季度，iPhone手機以超過10℅的市場占有率，穩居市場前二位。

2016年第二、三季度全球前六大手機品牌市場占有率

iPhone手機的高市場占有率和影響力，使得關于iPhone手機的電子數據提取一直是行業關注的焦點。但自從iOS9系統發布以來，新版本系統iPhone手機已很難通過越獄來直接提取解析或者拷貝原始數據，這使得iPhone手機電子數據提取成為行業一大難題。

針對這一難題，數據恢複四川省重點實驗室科研人員研究發現，可以使用iTunes官方備份方式獲取iPhone手機備份數據，再使用第三方工具解密該備份數據，并進行全面解析和展示。下面，将以iPhone 5C（iOS10.0.2）為例，詳細講解這一過程。

二、利用iTunes備份iPhone數據

1.連上iPhone手機，并授權，如圖1；

圖1

2.點擊繼續，如圖2；

圖2

3.點擊“立即備份”進行備份，但注意備份時不要勾選“備份加密”，如圖3；

圖3

三、查找iTunes備份數據

1. 點擊文件夾“查看”選項，取消“隐藏受保護的操作系統文件（推薦）”勾選，選擇“顯示隐藏的文件、文件夾和驅動器”，如圖4；

圖4

2.iTunes備份默認路徑在 Mac系統中為：資源庫/Application Support/MobileSync/Backup；在XP系統中為：C:\Documents and Settings\用戶名\Application Data\Apple Computer\MobileSync\Backup；在Window 7及以上系統中為： C:\Users\用戶名\AppData\Roaming\Apple Computer\MobileSync\Backup，如圖5；

圖5

四、解密iTunes備份數據

iTunes備份數據完成以後，可以選擇第三方軟件對其解密。這裡，我們選用效率源MTF 手機可視化行蹤取證系統對其解密。

1.打開MTF 手機可視化行蹤取證系統，調出功能欄，選擇“工具箱”，如圖6；

圖6

2.點擊“解密IOS備份文件夾”，如圖7；

圖7

3. 默認解密保存位置在C盤，點擊選擇iTunes備份的原始文件夾，進行文件夾解密，如圖8；

圖8

五、壓縮解析文件夾并提取數據

1.打開解析文件夾，如圖9；

圖9

2.選中“C:\XLYMTFData\20161122112711”所有内容，點擊鼠标右鍵選擇“添加到壓縮文件”，壓縮格式選擇勾選“ZIP”，解析文件夾，如圖10；

圖10

六、解析展示iOS數據

1.打開MTF，調出功能欄選擇“數據導入”，如圖11；

圖11

2. 點擊“浏覽”，調出功能欄選擇“數據導入”，選擇“iOS數據包”，如圖12；

圖12

3. 文件屬性選擇“All file”，選中之前壓縮的zip文件，如圖13；

圖13

4.數據加載成功後，鼠标左鍵單擊該手機模型，如圖14；

圖14

5.數據解析完成以後，可以對該iPhone 5C手機中掃描到的行為信息及位置信息進行展示，如圖15；

圖15

6.在解析結果中，可以對該iPhone 5C手機中的應用列表信心進行展示，如圖16；

圖16

通過以上步驟，成功實現了利用iTunes備份出iPhone手機數據，再利用MTF手機可視化行蹤取證系統進行數據解析全過程，成功提取到iPhone 5C手機裡的數據。此方法也可以适用于其它型号的iOS設備數據提取。

結語：本期，數據恢複四川省重點實驗室科研人員介紹了利用iTunes備份iPhone數據到使用效率源MTF手機可視化行蹤取證系統對其進行解析的全部過程。目前，在MTF手機可視化行蹤取證系統最新版本中，已經可以直接使用USB提取方式對iPhone手機數據進行備份和解析，大幅提升了工作效率。

更多精彩资讯请关注tft每日頭條，我们将持续为您更新最新资讯!