アンタイ・フォレンジック伝道者の独り言

基本的にはデジタル・フォレンジックの技術について取り扱っていますが、記載内容には高確率で誤りが含まれる可能性があります。

Zdziarskiメソッド

Zdziarski Method とご本人が Web で書かれているので、そのように呼ばせていただくとして、この手法については下記 FAQ に概要が書かれています。

Zdziarski Method FAQ
http://www.iphoneinsecurity.com/

最初、てっきりジェイルブレイク(JB)する必要があるのかと思っていましたが、JB の必要性はないということです。(そもそもJBでは書き込みすぎるので手法としてどうかという辺りもあるでしょうし)
大まかには、起動用のメモリイメージを送り込むことで一時的にファイルシステムへのアクセス経路を確保するという方法かなと推測していますが、残念ながらこの手法を実際に試したことがありません。*1
起動用のイメージファイルは法執行機関向けには提供されていますが、民間向けとかには提供されていないようです。あとは、iPhone Forensics 本とかを読むとだいたいの流れや、iPhone 内部で影響がある(更新される)ファイル等について書かれています。
この手法では、パスコードの影響を受けないという点もメリットとしては大きい気がします。iTunes ドライバ経由でアクセスする場合には、iPhone に設定されているパスコードが影響すると思いますので、そういったケースでは Zdziarski Method が必要になるのかもしれません。上記Webではその辺りの YouTube 動画へのリンクなどもありますので興味のあるかたはそちら参照いただくということで。
いずれにしても、Zdziarski Method 最大の利点はファイルシステムへの直接アクセスが可能な点でしょうかね。論理的なアクセスでは調べることができないファイルやデータ領域(Unallocated)などを解析対象にできるのは大きい気がします。
ただ、この方法も論理的な手法と同じく、今後 iPhone 側のアップデートなどの影響を受けるというお話が出てきたりするのかもしれません。

*1:趣味で調べてるだけなので自分のiPhoneしか実験材料ないので壊すわけにもいかずー