编者按：在手机电子数据取证领域，针对iPhone手机的取证一直都是行业关注的焦点。自从iOS9系统发布以来，新版本系统的iPhone手机已很难通过越狱来直接提取解析或者拷贝原始数据，给手机电子数据取证带来难题。本期，数据恢复四川省重点实验室科研人员将介绍，如何利用iTunes官方备份方式获取iPhone手机备份数据，并对其进行解析提取。 

一、背景介绍

      在全球智能手机市场上，iPhone手机长期位居市场前列。根据全球市场研究机构TrendForce官网发布最新报告显示，2016年第二、三季度，iPhone手机以超过10℅的市场占有率，稳居市场前二位。

2016年第二、三季度全球前六大手机品牌市场占有率

      iPhone手机的高市场占有率和影响力，使得关于iPhone手机的电子数据提取一直是行业关注的焦点。但自从iOS9系统发布以来，新版本系统iPhone手机已很难通过越狱来直接提取解析或者拷贝原始数据，这使得iPhone手机电子数据提取成为行业一大难题。

      针对这一难题，数据恢复四川省重点实验室科研人员研究发现，可以使用iTunes官方备份方式获取iPhone手机备份数据，再使用第三方工具解密该备份数据，并进行全面解析和展示。下面，将以iPhone 5C（iOS10.0.2）为例，详细讲解这一过程。

二、利用iTunes备份iPhone数据

      1.连上iPhone手机，并授权，如图1；

图1

      2.点击继续，如图2；

图2

      3.点击“立即备份”进行备份，但注意备份时不要勾选“备份加密”，如图3；

图3

三、查找iTunes备份数据

      1. 点击文件夹“查看”选项，取消“隐藏受保护的操作系统文件（推荐）”勾选，选择“显示隐藏的文件、文件夹和驱动器”，如图4；

图4

      2.iTunes备份默认路径在 Mac系统中为：资源库/Application Support/MobileSync/Backup；在XP系统中为：C:\Documents and Settings\用户名\Application Data\Apple Computer\MobileSync\Backup；在Window 7及以上系统中为： C:\Users\用户名\AppData\Roaming\Apple Computer\MobileSync\Backup，如图5；

图5

四、解密iTunes备份数据

      iTunes备份数据完成以后，可以选择第三方软件对其解密。这里，我们选用效率源MTF 手机可视化行踪取证系统对其解密。

      1.打开MTF 手机可视化行踪取证系统，调出功能栏，选择“工具箱”，如图6；

图6

      2.点击“解密IOS备份文件夹”，如图7；

图7

      3. 默认解密保存位置在C盘，点击选择iTunes备份的原始文件夹，进行文件夹解密，如图8；

图8

五、压缩解析文件夹并提取数据

      1.打开解析文件夹，如图9；

图9

      2.选中“C:\XLYMTFData\20161122112711”所有内容，点击鼠标右键选择“添加到压缩文件”，压缩格式选择勾选“ZIP”，解析文件夹，如图10；

图10

六、解析展示iOS数据

      1.打开MTF，调出功能栏选择“数据导入”，如图11；

图11

      2. 点击“浏览”，调出功能栏选择“数据导入”，选择“iOS数据包”，如图12；

图12

      3. 文件属性选择“All file”，选中之前压缩的zip文件，如图13；

图13

      4.数据加载成功后，鼠标左键单击该手机模型，如图14；

图14

      5.数据解析完成以后，可以对该iPhone 5C手机中扫描到的行为信息及位置信息进行展示，如图15；

图15

      6.在解析结果中，可以对该iPhone 5C手机中的应用列表信心进行展示，如图16；

图16

      通过以上步骤，成功实现了利用iTunes备份出iPhone手机数据，再利用MTF手机可视化行踪取证系统进行数据解析全过程，成功提取到iPhone 5C手机里的数据。此方法也可以适用于其它型号的iOS设备数据提取。

结语：本期，数据恢复四川省重点实验室科研人员介绍了利用iTunes备份iPhone数据到使用效率源MTF手机可视化行踪取证系统对其进行解析的全部过程。目前，在MTF手机可视化行踪取证系统最新版本中，已经可以直接使用USB提取方式对iPhone手机数据进行备份和解析，大幅提升了工作效率。