アンタイ・フォレンジック伝道者の独り言

基本的にはデジタル・フォレンジックの技術について取り扱っていますが、記載内容には高確率で誤りが含まれる可能性があります。

イメージの取得

iPhone からデータを取得する方法としては、iTunes のドライバを経由して論理的なデータを取得する方法と、Zdziarskiメソッドというか、dd コマンドなどを使いファイルシステムを丸ごとイメージ化する方法に大きく分かれるかと思います。*1
現在 iPhone 対応を表明している商用の Mobile フォレンジックツールでは、どちらかというと iTunes ドライバ経由でのアクセスにより、論理的なデータを取得するというアプローチが多い気がします。少し変ったアプローチ?としては GSI の EnCase Neutrino(http://www.guidancesoftware.com/mobile-cellphone-forensics-software-neutrino.htm) のように iTunes で作成したバックアップファイルを解析対象とするものもあります。他にもバックアップを使う方法として SANS Forensics の Blog で紹介されている方法などあるようですね。

Indirect iPhone Forensics
http://blogs.sans.org/computer-forensics/2008/09/29/indirect-iphone-forensics/

iPhone に対応している解析ツールは幾つもありますが、それぞれ得手不得手があるようです。その辺りの解析ソフトウェアによる対応状況の違いについては、viaFORENSICS が公開しているiPhone Forensicsというホワイトペーパーが参考になります。

iPhone Forensics
http://viaforensics.com/iphone/
http://viaforensics.com/wpinstall/wp-content/uploads/2009/03/iPhone-Forensics-2009.pdf

この資料には掲載されてないツールや、すでに開発元の会社が存在していないツールも含まれていたりしますが、代表的なツールについては含まれているのと、大体の傾向や対応範囲は参考になるかと思います。
ただ残念ながら?この中には手元で使っている Oxygen Forensic Suite が含まれてないんですよねぇ。個人的に知っている範囲ではこれが一番よさげなのではないかと考えていたりするんですけど...

*1:ハードウェアベースの製品はまた違ったアプローチを取っているかもしれませんがそっち方面は触れる装置がないので確認できていません