alisterrodrigues/mobile-forensics-investigations

# 移动取证调查

## 概述 针对不同设备类型、证据格式和分析方法进行的三项移动取证检查。每项调查均遵循既定的取证规范——经过哈希验证的获取、受控的检查环境、有据可查的痕迹恢复以及结构化的报告撰写。 综合来看，它们展示了从完整的 iOS 文件系统分析，到传统移动痕迹恢复，再到 Android 应用程序行为分析的演进过程：三个不同的平台，三条不同的工具链，一种一致的分析方法。 ## 检查项目 ### [01 — iOS 全文件系统分析](./01-ios-full-filesystem-analysis/) **设备：** Apple iPhone 8 · **格式：** UFDR (Cellebrite) · **工具：** Cellebrite Reader 7.48.1.3 + DB Browser for SQLite 从 iPhone 8 进行全文件系统提取。使用 Windows CertUtil 和 Cellebrite 内部验证器进行 SHA-256 哈希验证。分析涵盖设备元数据、通过 `Accounts3.sqlite` 进行的机主身份识别、电子邮件通信（134 条消息）、通过 `applicationState.db` 和 `knowledgeC.db` 进行的应用程序取证、5,790 个地理位置痕迹（恢复 1,860 条已删除数据）、3,609 个带坐标的 Wi-Fi BSSID 条目以及蓝牙连接记录。 主要发现：通过 Apple ID 关联建立了单用户设备画像；健康追踪应用程序集群在集中的 4 分钟窗口内安装；地理位置数据证实了设备在 40.73°N, 73.87°W 附近的持续活动；无可恢复的 SMS/iMessage 内容，并附有详细的取证说明。 ### [02 — 传统移动设备与 SIM 卡分析](./02-legacy-mobile-device-analysis/) **设备：** LG VX9100 (Verizon) + Cingular SIM · **格式：** AD1/AD1X 逻辑提取 · **工具：** FTK Imager + Autopsy 4.22.1 对一款 2000 年代早期的传统移动设备及其关联 SIM 卡进行的双源检查。使用 FTK Imager 将 AD1/AD1X 提取到两个独立的案例文件夹中，并导入 Autopsy，启用了文件系统分析、关键词搜索和嵌入文件提取模块。 主要发现：从 SIM 卡恢复 15 条 SMS 痕迹，从手机恢复 16 条——重叠内容证实了跨源的一致性；18 个 SIM 联系人 + 6 个手机条目重构了用户的通信圈；17 个图像文件（包括存储在手机上的 JPEG/BMP）；3GPP 视频捕捉到一人在电脑前的画面；包含电话号码和 PDU 引用的 MMS 数据库 (`MMSMsg.db`)；从 IM 日志文件中恢复 14 个电子邮件地址；确认 LG VX9100 身份、Verizon 分销商、固件版本和加密设置的设备配置 XML；Autopsy 标记的可疑项目，包括 Verizon 电子邮件网关字符串。 ### [03 — Android APK 静态与动态分析](./03-android-apk-analysis/) **目标：** PeriodTracker (Flo Health) v4.13.0 · **包名：** `org.iggymedia.periodtracker` · **工具：** JADX-GUI + Apktool + PCAPdroid 对一款 Android 健康追踪应用程序进行的综合静态和动态检查。使用 JADX-GUI 和 Apktool 对反编译的 APK 进行静态分析——审查 AndroidManifest 权限、声明的组件、第三方 SDK 清单和嵌入的资源字符串。使用 PCAPdroid 在实体 Android 设备上进行动态分析，以捕获实时流量，从而生成真实设备的行为画像，而非模拟器输出。 主要发现：权限集涵盖 INTERNET、位置（精确 + 粗略）、外部存储、账户元数据、后台操作和推送消息；第三方 SDK 架构包括 Firebase、Crashlytics、Flurry、Adjust、AppsFlyer、Segment 和 Usercentrics；所有运行时流量均已加密（HTTPS + QUIC）；Usercentrics CMP 请求在任何用户交互之前启动——这是一种预先同意初始化模式，可能涉及 GDPR 合规问题；静态声明和运行时行为在两个分析阶段中完全一致。 ## 工具链汇总 | 工具 | 用途 | 用于 | |---|---|---| | **Cellebrite Reader 7.48.1.3** | UFDR 解析，iOS 痕迹分类 | 调查 01 | | **DB Browser for SQLite 3.12.2** | 直接查询 iOS 数据库 (`applicationState.db`, `knowledgeC.db`, `sms.db`) | 调查 01 | | **FTK Imager** | AD1/AD1X 逻辑提取和导出 | 调查 02 | | **Autopsy 4.22.1** | 多源痕迹分析，关键词搜索，文件类型雕刻 | 调查 02 | | **JADX-GUI** | APK 反编译，清单检查，源代码审查 | 调查 03 | | **Apktool** | APK 资源提取和原始结构分析 | 调查 03 | | **PCAPdroid** | 实时 Android 网络流量捕获（按应用过滤） | 调查 03 | | **Windows CertUtil** | SHA-256 哈希验证 | 调查 01 | ## 涵盖的证据格式 | 格式 | 描述 | |---|---| | **.ufdr** | Cellebrite 通用取证数据报告 — 完整的 iOS 文件系统提取 | | **.ad1 / .ad1x** | AccessData 逻辑镜像格式 — 移动设备和 SIM 提取 | | **.apk** | Android 应用程序包 — 静态和动态行为分析 | | **.sqlite / .db** | 直接查询以进行痕迹恢复的 iOS 系统数据库 | *由 Alister A. Rodrigues 开发。所有检查均在受控环境下的取证工作副本上进行。原始证据文件在整个检查过程中均保持只读状态。*

标签：Android 取证, APK 分析, Autopsy, Cellebrite, FTK, iOS 取证, JADX, PCAPdroid, SQLite 分析, UFDR, Wi-Fi BSSID, 云安全监控, 云资产清单, 哈希验证, 地理定位, 应用取证, 恢复已删除数据, 数字取证, 电子证据, 移动取证, 网络安全, 自动化脚本, 蓝牙记录, 逆向工程, 隐私保护, 静态分析