Trích xuất dữ liệu trên iPhone – Đâu là thứ tự đúng?

Trong thời đại kỹ thuật số ngày nay, trích xuất dữ liệu từ thiết bị di động là một khía cạnh thiết yếu của điều tra pháp y. Tuy nhiên nó phải được thực hiện cẩn thận và đúng đắn để đảm bảo tính chính xác và độ tin cậy cao nhất có thể. Để thực hiện điều này, các phương pháp trích xuất thích hợp nên được sử dụng theo đúng thứ tự và cân nhắc tất cả tùy chọn có sẵn có thể áp dụng. Vậy thứ tự tốt nhất khi trích xuất dữ liệu trên iPhone là gì? Hãy cùng tìm hiểu trong bài viết dưới đây.

1. checkm8 (nếu tương thích)

checkm8 là phương pháp trích xuất dữ liệu đầu tiên nên được cân nhắc (nếu thiết bị đó được hỗ trợ). Nếu thành công, không sử dụng bất kỳ phương pháp trích xuất nào khác (ngoại trừ trích xuất đám mây).

Khi sử dụng checkm8, nội dung của thiết bị không thay đổi, các lần trích xuất sau sẽ cho kết quả chính xác như lần đầu tiên và có thể được xác minh thông qua tổng kiểm tra. Ngược lại, sử dụng bất kỳ phương pháp trích xuất nào khác sẽ dẫn đến những thay đổi không thể tránh khỏi trong phân vùng dữ liệu, dẫn đến các lần trích xuất tiếp theo không còn giống nhau 100%.

2. Trích xuất agent (nếu tương thích và thiết bị không được checkm8 hỗ trợ)

Tiếp theo, bạn nên cân nhắc sử dụng trích xuất agent. Nếu thành công, không sử dụng bất kỳ phương pháp trích xuất nào khác (ngoại trừ trích xuất đám mây).

Trích xuất agent là một tùy chọn an toàn và đáng tin cậy để trích xuất dữ liệu hình ảnh full file system và giải mã tất cả bản ghi keychain bao gồm cả những bản ghi không thể giải mã bằng cách phân tích bản sao lưu cục bộ.

Nếu một thiết bị tương thích với cả checkm8 và trích xuất agent, bạn nên sử dụng checkm8 trước. Tuy nhiên, nếu trích xuất agent hỗ trợ phiên bản của hệ điều hành được cài trên thiết bị, thì nó nên được sử dụng để thay thế. Trong trường hợp cả checkm8 và trích xuất agent đều không được hỗ trợ, chúng tôi khuyên bạn nên sử dụng phương pháp trích xuất logic.

3. Trích xuất logic (sao lưu cục bộ)

Tạo bản sao lưu cục bộ ngay cả khi bạn không biết mật khẩu sao lưu.

Trước tiên, bạn nên tạo bản sao lưu của thiết bị “nguyên trạng” để duy trì trạng thái ban đầu. Nếu cần, bạn có thể đặt mật khẩu dự phòng trong phần cài đặt thiết bị. Tuy nhiên, việc đặt lại mật khẩu dự phòng có ý nghĩa pháp lý nghiêm trọng, chẳng hạn như xóa mật mã khóa màn hình. Đổi lại, điều này ảnh hưởng đến độ tin cậy của thiết bị đối với iCloud và ngăn truy cập vào dữ liệu được mã hóa đầu cuối để khai thác trên đám mây. Ngoài ra, một số dữ liệu, chẳng hạn như dữ liệu Apple Pay và lịch sử giao dịch có thể bị xóa khỏi thiết bị. Nếu không có mật khẩu dự phòng, bạn có thể chỉ định mật khẩu dự phòng tạm thời là “123” để truy cập các loại dữ liệu không thể truy cập, chẳng hạn như chuỗi khóa.

4. Trích xuất logic mở rộng

Trích xuất logic mở rộng cho phép trích xuất các loại dữ liệu bổ sung, ngay cả khi mật khẩu dự phòng được đặt. Chẳng hạn, sử dụng quy trình “logic nâng cao” để giải nén các tệp phương tiện sẽ không chỉ trả về chính các tệp phương tiện đó mà còn cung cấp metadata chi tiết. Metadata này có thể hữu ích trong việc thu thập thêm thông tin về các tệp phương tiện đã trích xuất, chẳng hạn như tên album, kết quả nhận dạng người và đối tượng, dữ liệu vị trí và chế độ. Ngoài ra, metadata có thể chứa thông tin về media đã xóa không còn tồn tại trên thiết bị. Do đó, tiến hành trích xuất logic mở rộng có thể mang lại kết quả toàn diện hơn, làm cho nó trở thành một trong những phương pháp ưa thích để trích xuất dữ liệu.

5. Mật khẩu dự phòng không xác định

Chúng tôi thực sự khuyên bạn nên thực hiện đánh giá rủi ro khi gặp phải bản sao lưu được bảo vệ bằng mật khẩu không xác định. Trong trường hợp không thể khôi phục mật khẩu bằng tấn công brute-force hoặc tấn công từ điển, bạn có thể thực hiện thiết lập lại mềm bằng cách sử dụng lệnh “Đặt lại tất cả cài đặt” trong ứng dụng Cài đặt, thao tác này cũng xóa mật khẩu dự phòng. Tuy nhiên, điều quan trọng cần lưu ý là việc đặt lại mật khẩu dự phòng cũng dẫn đến việc xóa mật mã khóa màn hình, điều này có ý nghĩa pháp lý quan trọng. Sau khi đặt lại mật khẩu sao lưu, hãy lặp lại quy trình trích xuất hợp lý để lấy dữ liệu được lưu trữ trong bản sao lưu.

Xin lưu ý rằng cơ hội khôi phục mật khẩu sao lưu bằng tấn công từ điển hoặc brute-force là thấp do mã hóa được Apple sử dụng để sao lưu cực kỳ mạnh mẽ; có thể mất nhiều thời gian để bẻ khóa khi sử dụng bộ tăng tốc GPU mạnh mẽ. Nếu bạn cho rằng bản sao lưu cục bộ có thể chứa bằng chứng có giá trị, trước tiên hãy sử dụng hết tất cả các tùy chọn có sẵn trước khi xem xét mật khẩu không thể khôi phục.

6. Trích xuất đám mây

Cho đến nay, Apple cung cấp giải pháp tinh vi nhất để sao lưu, khôi phục, truyền và đồng bộ hóa dữ liệu trên các thiết bị thuộc hệ sinh thái của công ty. Apple iCloud có thể lưu trữ các bản sao lưu đám mây và tệp phương tiện, đồng bộ hóa thông tin cần thiết giữa các thiết bị Apple và giữ cho thông tin nhạy cảm cao như Sức khỏe và thông tin xác thực được đồng bộ hóa an toàn.

Apple iCloud chứa thông tin thuộc một số danh mục khác nhau và bạn sẽ yêu cầu một bộ thông tin xác thực khác để truy cập một số dữ liệu này.

Để sao lưu và đồng bộ hóa dữ liệu, bạn sẽ cần tất cả những thứ sau:

• ID Apple và mật khẩu của người dùng.
• Vượt qua xác thực hai yếu tố (bạn có thể sử dụng một trong các thiết bị đáng tin cậy của người dùng hoặc thẻ SIM có số điện thoại đáng tin cậy).

Để truy cập dữ liệu được mã hóa đầu cuối bao gồm Chuỗi khóa iCloud chứa mật khẩu được lưu trữ của người dùng, bạn sẽ cần những thông tin sau ngoài thông tin đăng nhập ở trên:

• Mật khẩu hoặc mật mã khóa màn hình cho một trong các thiết bị đáng tin cậy của người dùng.

Kết luận

Khi nói đến việc thu thập bằng chứng từ các thiết bị của Apple, việc sử dụng đúng phương pháp trích xuất theo đúng thứ tự là điều cần thiết để đảm bảo kết quả có thể chấp nhận được.

Nếu thiết bị tương thích, hãy thực hiện phương pháp trích xuất checkm8. Đó là cách hợp pháp duy nhất để truy cập dữ liệu và việc sử dụng nó sẽ không làm thay đổi nội dung của thiết bị.

Nếu checkm8 không phải là lựa chọn khả thi, hãy xem xét một tùy chọn cấp thấp khác bằng cách sử dụng trích xuất agent. Phương pháp này sẽ trả về một hình ảnh hệ thống tệp đầy đủ và quyền truy cập vào các bản ghi móc khóa, ngay cả những bản ghi không thể truy cập được bằng cách phân tích bản sao lưu cục bộ.

Nếu cả hai cách đều không hiệu quả, hãy sử dụng phương pháp trích xuất logic. Đảm bảo tạo bản sao lưu của thiết bị “nguyên trạng” trước, sau đó thử đặt lại mật khẩu sao lưu để có quyền truy cập vào dữ liệu. Tiếp theo là trích xuất logic mở rộng, vì nó có thể trích xuất các loại dữ liệu bổ sung, ngay cả khi mật khẩu dự phòng được đặt.

Nếu bạn đang xử lý một mật khẩu dự phòng không xác định, trước tiên, hãy thử tấn công từ điển hoặc brute-force để khôi phục mật khẩu đó, nhưng khả năng nó sẽ hoạt động là rất thấp. Nếu vẫn thất bại, bạn luôn có thể thực hiện thiết lập lại mềm và bắt đầu lại.

Cuối cùng nhưng không kém phần quan trọng, bạn luôn có thể thử trích xuất đám mây, nhưng sẽ có một số rủi ro liên quan đến phương pháp đó.

Nhìn chung, việc làm theo các nguyên tắc này sẽ giúp bạn có được dữ liệu đó một cách chính xác và đáng tin cậy mà không làm hỏng hoặc thay đổi dữ liệu đó.