IOS应用安全(九)：IOS文件系统和取证

原文链接：http://resources.infosecinstitute.com/ios-application-security-part-10-ios-filesystem-and-forensics/#article

在这篇文章，我们来学习IOS文件系统的结构和在IOS系统中有哪些重要的文件。怎样从数据库和plist文件提取数据。应用程序怎样存放它们自己的数据在他们指定的目录(sandbox)又应该怎么提取它们。

在之前的文章，我们登录设备都是使用root权限来登录的。其实IOS还提供了另一个用户权限mobile。只不过mobile拥有被root更少的权限。而在IOS系统大部分的应用程序都是使用mobile权限运行的,Cydia和一些其他应用是使用root权限的,苹果的一些内部守护进程和服务也是运行在root权限下。我们使用命令ps aux可以很清楚的看到当前运行的进程和它们的用户权限。

如下图，在终端最左端，第一列是USER，显示的是该应用程序是以什么用户权限运行的。比如在这图中我们看到Cydia以root权限运行。 /Applications/AppStore.app/AppStore 是以mobile权限运行，而一些守护进程也可能以mobile权限运行而不是root权限。如 /usr/sbin/wifid。
其他的应用程序你也可以通过Cydia来安装让它可以以root权限运行。一般越狱后的设备，root和mobile的密码默认是alpine。
http://t.cn/RbBpXB7
如果你想让你的程序可以以root权限运行。你可以在Stack Overflow找到答案。

ssh连入你的设备，来到/Applications目录，你可以看到.app结尾的文件夹。这些都是安装在你的设备的app。大部分是IOS预装程序。也有一些例外是通过其他途径安装的，如Terminal app就是通过Cydia安装的。

这里有一点值得注意。在 /Applications内运行的应用不会在沙盒环境运行而在 /var/mobile/Applications运行的应用运行在沙盒环境。
然而，除非指定该应用程序使用root权限，不然还是使用默认的mobile权限运行，也就是说应用程序使用mobile权限在在沙盒环境下运行。

http://t.cn/RbBOL3L

所有从App Store上下载的应用都被保存在 /var/mobile/Applications/  目录。也包含一些使用installipa和其他源(如:Cydia)安装的程序，前面也说了，在这个目录的应用使用mobile权限在沙盒环境下运行。
http://t.cn/RbBWopb

从数据库收集信息

Aplle使用sqlite数据库来保存信息，这些数据库文件以.db或.sqlitedb后缀结尾。许多功能的开发，如Core Data, NSUserDefaults等等，它们使用更低层次的操作来操作数据库文件。
这些数据库通常被用来提取指定应用或者系统的一些数据。包括但不限于呼叫历史、在应用保存的邮件。
使用命令 find . -name  *.db 找到所有的数据库文件，熟悉linux命令的童鞋都知道，这条命令 . 代表从当前目录开始往下找，包括文件夹里的文件。-name匹配要找的文件名。在这里，这条命令会从root路径开始找所有后缀为db的数据库文件。

http://t.cn/RbBHSZ7
上图打印出了这个设备的所有的数据库文件。

我在我的设备上安装有gmail应用，下图这个文件从文件名看很有可能是保存邮件的数据库，那到底是不是呢？
http://t.cn/RbB8A9j
下面我们使用sqlite client客户端来分析这个数据库文件，在这之前得确认在你的设备是否已经安装sqlite3客户端。使用命令 sqlite3 file_name来打开数据库文件。
http://2we26u4fam7n16rz3a44uhbe1bq2.wpengine.netdna-cdn.com/wp-content/uploads/072913_1331_IOSApplicat8.png

执行命令后进入sqlite的交互模式，输入.headers on命令，这样我们就可以看到所有列值的头部值。使用 .table来查看数据库中所有的表项。
http://t.cn/RbBRcKI
有几个表项看起很有趣，如cached_contacts, cached_queries and cached_messages.  我们使用 select * from cached_messages sql查询语句来dump看看里面存放着什么数据。
http://t.cn/RbBRCNn
正如我们看到的那样，这个数据库文件存放的是email缓存。同样的，我们也可dump所有的SMS数据，SMS数据库文件存放在 /private/var/mobile/Library/SMS。
在这个dump出来的数据里，你可以看到 text Test message for ios security tutorial. SMS内容。
http://2we26u4fam7n16rz3a44uhbe1bq2.wpengine.netdna-cdn.com/wp-content/uploads/072913_1331_IOSApplicat11.png

另一个例子是联系人数据库，存放路径在 /var/mobile/Library/AddressBook 。
http://2we26u4fam7n16rz3a44uhbe1bq2.wpengine.netdna-cdn.com/wp-content/uploads/072913_1331_IOSApplicat12.png
你还可以看呼叫历史。数据库文件路径 /private/var/wireless/Library/CallHistory。
http://2we26u4fam7n16rz3a44uhbe1bq2.wpengine.netdna-cdn.com/wp-content/uploads/072913_1331_IOSApplicat13.png


使用命令行工具来查看sqlite数据不够直观且花费大量时间，对此，我们有一个更好的办法，将数据库文件导出到你想导出的位置。如下载 Address Book Sqlite database.来查看 Address Book数据。
http://2we26u4fam7n16rz3a44uhbe1bq2.wpengine.netdna-cdn.com/wp-content/uploads/072913_1331_IOSApplicat14.png
我们可以使用GUI 的sqlite客户端来分析数据库。在这里我使用MesaSQLite客户端。
http://2we26u4fam7n16rz3a44uhbe1bq2.wpengine.netdna-cdn.com/wp-content/uploads/072913_1331_IOSApplicat15.png

排版乱，差评，内容少，差评，鸣人头像，好评。

何须执手问年华 发表于 2016-1-30 15:53
排版乱，差评，内容少，差评，鸣人头像，好评。

还没写完呢{:4_114:}

这排版，我猜除了我之外不会有人从头看完{:5_117:}