1、iPhone 6(iOS 9.0.1)
2、筆記型電腦(Windows 10)
1、iPad mini (iOS 9.3.1)
2 、 筆 記 型 電 腦
(Windows 10)
分 析 工 具
2 、 plistEditor Pro
(2.1)
2、Google Drive(8.13)
3、MEGA(3.4.1)
由於執行動態分析需要先將iOS 裝置執行越獄(JailBreak)後,才能利用分析工具 對目標APP 進行檢測分析,為求一致,本次各項分析實驗中的 iOS 裝置均已越獄。
4.1 網路封包分析
網路封包分析顧名思義就是針對其網路封包及傳送的訊息進行分析鑑識,為了能完
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
31
成網路封包分析,建立網路實驗環境如下圖6 所示,首先必須要確認用於監控分析的筆 記型電腦與 iPhone 連接上同一網路,確保能執行相關後續環境設定,及順利側錄 APP 連接上網路後的各種網路行為與傳輸資料[31]。
圖 6:建立網路分析環境
當所有設備就緒,連接上同一網路後,我們即開始設定分析工具及iPhone 之參數,
本次實驗採用Burp Suite 作為網路封包分析的工具,Burp Suite 是知名的網路滲透測試 分析工具,透過他所提供的Proxy 功能,將 iPhone 上的網路流量先行導向至筆記型電腦,
讓我們得以側錄所有網路流量,並加以分析記錄。
首先我們開啟Burp Suite 後,就要到 Proxy 分頁下的 Options 頁面進行設定,相關 預設畫面如下(如圖7-1)。
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
32
圖 7-1:Burp Suite 網路連接設定
然後開始對iPhone 進行設定,我們先開啟 iPhone,點選「設定>WiFi」,再進一步 點選○i的符號,進一步手動設定 HTTP 代理伺服器選項,其中伺服器 IP 要設定為筆記 型電腦的IP「172.20.10.13」,傳輸埠要設定為 8080(如圖 7-2),才能讓 iPhone 的資料 順利轉送到筆記型電腦,以便進一步分析。
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
33
圖 8-2:iPhone 的 Proxy 設定
由於安全性的需要,目前已有很多服務都採用 HTTPS 協定,以提高通訊傳輸的安 全性,為了能順利解讀HTTPS 的內容,我們還需要在 iPhone 中安裝 Burp Suite 的憑證。
首先在iPhone 中開啟 Safari 瀏覽器,在網址列中輸入「http://burp」後,即開啟 Burp Suite 的憑證下載頁面,點選右上角的「CA Certificate」就會把憑證下載至 iPhone,緊接著我 們到iPhone 的「設定>一般>描述檔」底下點選描述檔「PortSwigger CA」,然後點選 安裝,讓這個憑證得以被iPhone 驗證信任(如圖 7-3)。
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
34
圖 9-3:Burp Suite 憑證安裝
完成所有設定之後,要再次回到Burp Suite 上,開啟 Proxy 分頁下的 Intercept 頁面,
將「Intercept is on」選項開啟(如圖 7-4),然後利用 iPhone 讀取任何網頁,測試是否可 以正常攔截到網路封包,如果有擷取到封包資料,就要點選「Forward」選項,讓封包 正常傳送出去,如果沒有點擊出去,則可能使網頁發生錯誤,無法瀏覽,如果還是無法 完成測試,則要將電腦的防火牆設定關閉,才能利用Burp Suite 監控網路流量,蒐集所 有網路傳輸的資料。接著就能針對不同雲端儲存 APP 進行監測分析,以下將針對不同 雲端儲存APP 分述其實驗結果。
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
35
圖 10-4:Burp Suite 開啟「Intercept is on」選項
本實驗操作項目如下,希望藉由操作登入或上傳、下載檔案等動作,瞭解各個雲端 儲存APP 在網路傳輸的狀況,可以澈底瞭解在網路環境中可能找出那些數位證據。
1 、 開 啟 APP 後 , 在 登 入 頁 面 輸 入 錯 誤 帳 號 密 碼 ( 此 處 輸 入 的 帳 號 為 : [email protected],密碼為:test123456)。
2 、 開 啟 APP 後 , 在 登 入 頁 面 輸 入 正 確 帳 號 密 碼 ( 此 處 輸 入 的 帳 號 為 : [email protected],密碼為:crea123456)。
3、登入 APP 後,上傳儲存於 iPhone 上的照片檔案。
4、登入 APP 後,下載儲存於雲端服務上的 PDF 檔案。
一、OneDrive 情境一:
首先開啟 OneDrive 後,在登入頁面輸入錯誤帳號 [email protected],此時 OneDrive 會發送帳號資訊到登入主機 https://login.live.com(IP 為 131.253.61.82)進行身
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
36
分驗證(如圖8-1、8-2),由於該帳號未在 OneDrive 註冊,所以系統出現帳戶不存在訊 息,並且要求輸入不同帳戶或取得新的帳戶訊息。
圖 11-1:OneDrive 登入伺服主機
圖 12-2:OneDrive 登入錯誤帳號資訊
情境二:
開啟OneDrive,在登入頁面輸入正確帳號 [email protected] 後,系統立即驗證
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
37
通過,並可讓使用者輸入密碼,此處輸入密碼crea123456,OneDrive 就傳送帳號密碼資 料至伺服器驗證(如圖8-3),完成驗證後即登入系統。
圖 13-3:OneDrive 傳送正確帳號密碼資訊
情境三:
登入OneDrive 後,我們上傳儲存於 iPhone 上的照片檔案,可以發現照片將傳送至 雲端主機https://skyapi.live.net(如圖 8-4,其 IP 為 131.253.14.231),接著在這次的訊息 中,可在 Params 分頁發現國家代碼(zh-TW)、photoExif、location 及 sha1hash 等參數 資訊(如圖8-5)。
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
38
圖 14-4:OneDrive 上傳檔案主機
圖 15-5:OneDrive 上傳檔案相關參數
情境四:
登入 OneDrive 後,我們下載儲存於 OneDrive 上的 PDF 檔案,發現是向雲端主機 https://vortex.data.microsoft.com(如圖 8-6,其 IP 為 111.221.29.254)請求下載,並且可
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
39
在這個訊息的Headers 分頁底下發現下載的檔案類型為 pdf 字樣,以及網路連接方式與 時間等相關資訊(如圖8-7)。
圖 16-6:OneDrive 下載檔案主機
圖 17-7:OneDrive 顯示下載檔案類型
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
40
二、Google Drive 情境一:
首先開啟Google Drive 後,在登入頁面輸入錯誤帳號 [email protected],此時 Google Drive 會發送帳號資訊到登入主機 https://account.google.com(如圖 9-1、9-2,其 IP 為 216.58.200.45)進行身分驗證,由於該帳號未在 Google Drive 註冊,所以系統出現
「找不到您的Google 帳戶」之訊息。
圖 18-1:Google Drive 登入伺服主機
圖 19-2:Google Drive 登入錯誤帳號資訊
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
41
情境二:
開啟Google Drive,在登入頁面輸入正確帳號 [email protected] 後,系統即通 過驗證,並可讓使用者輸入密碼,此處輸入密碼crea123456,Google Drive 就傳送帳號 密碼資料至伺服器驗證(如圖9-3),完成驗證後即登入系統。然而這個部分只能發現正 確帳號資訊,未能發現密碼資料。
圖 20-3:Google Drive 傳送正確帳號密碼資訊
情境三:
登入Google Drive 後,我們上傳儲存於 iPhone 上的照片檔案,可以發現照片將傳送 至雲端主機https://www.googleapis.com(如圖 9-4,其 IP 為 216.58.200.42),然後在這次 的訊息中,可發現上傳照片原始檔名資訊IMG_0041.JPG(如圖 9-5)。
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
42
圖 21-4:Google Drive 上傳檔案主機
圖 22-5:Google Drive 上傳檔案相關參數
情境四:
登入Google Drive 後,我們下載儲存於 Google Drive 上的 PDF 檔案,但並未能在網
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
43
路封包中發現PDF 或其他相關字樣。
三、MEGA
本次實驗在情境一到情境四的狀況下,所傳輸的封包量相當少,甚至無法從中取得 使用者帳號密碼或下載、上傳檔案等相關資訊,我們未能得知任何與使用者相關且有用 的數位證據。但在登入過程中,曾經傳輸 AWSAccessKeyId 的資訊(如圖 10),表示 MEGA 應該是採用美國亞馬遜公司的雲端服務(Amazon Web Services,AWS),而且還 有到期時間資訊,所以我們推測 MEGA 可能利用這組 AWSAccessKeyId 登入存取雲端 服務。
圖 23:MEGA 傳送 AWSAccessKeyId 資訊