hashcat怎么在windows运行 2019 SDC 议题回顾 | 基于云数据的司法取证技术

网络犯罪事件如网络钓鱼、网上欺诈、垃圾邮件、拒绝服务攻击、病毒、蠕虫、恶意代码、信用卡诈骗等层出不穷。在信息化时代，我们面临着越来越多的网络犯罪，对司法取证的要求也越来越高。为了追求更高水平的司法取证技术，许多技术研究人员致力于不断改进。下面让我们回顾一下2019年看雪安全开发者峰会上关于《基于云数据的司法取证技术》的精彩演讲。

编辑按 crownless：通过这次演讲，我们可以了解到以下几点：1、云存储了大量敏感数据，不仅包括通讯录和照片，还包括用户的活动记录。2、即使用户删除了云中的私人数据，这些数据仍然残留在云端。3、攻击者可以通过破解用户的电脑密码来获取访问云数据的权限。因此，在使用云服务时，我们需要谨慎行事！

嘉宾介绍

程勋德是万兴科技的首席安全架构师，也是《加密与解密（第4版）》的联合作者，他在PC和Android逆向工作方面有着8年的经验。程勋德讲师在演讲中详细介绍了iOS iCloud和Google Cloud的备份和同步机制，以及Token缓存机制，并提供了解决数据获取技术难点的解决方案。最后，他通过实例演示了如何在未获得用户授权的情况下获取存储在iCloud云备份中的数据，让观众对最新的智能手机取证技术有了更深入的了解。他的演讲风趣幽默，多次引发观众的热烈掌声，并受到了广泛好评。

演讲具体内容

以下是演讲的速记全文：

大家好！我来自万兴科技，我们是一家低调的消费类软件研发、销售和技术支持公司，主要在海外市场运营。但自从去年上市以来，我们决定回归国内市场，因此开始更加积极参与像看雪这样的技术交流活动，与安全专家面对面交流，了解当前和未来的安全趋势，同时提升公司的知名度。

我今天的演讲主题是云取证，即如何从iCloud和Google Cloud中提取存储在iPhone和Android手机中的数据。在过去，取证通常有三种方式。第一种是使用硬件厂商提供的JTag调试接口进行数据读写，但这种方式成本较高，而且并非所有设备都具备该接口。此外，由于iPhone和Android都启用了全盘加密，读取到的数据价值有限。第二种是物理读取，例如使用ipbox2盒子提取苹果手机的数据，但提取的数据仍然是全盘加密的，无法有效利用。第三种是普通读写，需要解锁密码，并且由于权限问题，无法读取到许多数据。

云取证作为一种新的数据取证方法，可以作为前述三种方法的有力补充。iCloud和Google Cloud上存储的数据越来越多，已经成为不可忽视的取证来源。

云取证的优点是云数据类型繁多，但也存在缺点，例如云取证接口因各厂商定制而不同，且云取证变得越来越困难，因为云服务商开始启用二步验证。

移动云的生态系统主要由安卓和苹果两大主流手机平台组成。我们主要关注iCloud和Google Cloud，这两个云服务在海外市场非常流行。iCloud开启同步和备份后，用户的所有数据都会上传到云端，包括联系人、收藏夹等等。在PC时代，取证相对容易，只需拆下硬盘进行物理读取即可访问数据。然而，随着云数据的增加，云取证变得更加复杂。iCloud分为备份和同步两部分。备份会将整个iOS设备的磁盘镜像上传到云端，但无法直接查看备份的详细数据类型。同步数据可以在icloud.com上查看，例如联系人和照片等。然而，一些数据无法在同步中看到，如iMessage聊天记录和keyChain等。

Google Cloud在国内市场影响较小，但在国外是较为主流的移动数据同步云服务。Google Cloud的同步数据种类非常多，只要用户使用谷歌系的应用程序，如安卓手机、Chrome和YouTube等，就能收集到详尽的信息，包括历史位置信息等。例如，历史位置信息可以提供详细的信息，如用户是在地铁、私家车还是自行车上。如果这些数据被无关人员获取，用户的隐私将受到威胁。Google Cloud收集的数据种类超过50种，分为多个类别。

获取云数据时必须解决的一个问题是二步验证。iCloud和Google Cloud在登录时都会弹出二步验证，以防止未经授权的第三方登录。然而，在取证过程中，我们必须找到绕过这一步骤的方法。目前的解决方案是从曾经登录过的PC/Mac或浏览器中提取历史记录，这些记录中保存了无需二步验证的Token。通过使用这些Token向云端发送请求，就可以避免二步验证的问题。

取证的思路是什么？iCloud和Google Cloud经过多年发展，拥有完善的安全和授权机制。直接攻击iCloud或Google Cloud是非常困难的，除非利用漏洞。然而，漏洞并不是随时都能遇到的，因此我们需要寻找其他方法。作为社会化动物，个人不仅拥有手机，还可能拥有PC/Mac设备。如果我们能够从其他设备入手，取证过程是否会变得简单？我们可以找到一种提取数据的方案吗？核心环节是获取PC/Mac的密码，这在PC时代的取证中是常见的做法，是可行的方案。

简单来说，Windows上可以通过提取SAM文件进行哈希枚举暴力破解，而Mac上可以提取login keychain进行暴力破解。通过使用hashcat进行暴力破解，结合彩虹表，即使是包含10位数字、大小写字母和特殊字符的密码，也可以在几分钟到几十分钟内破解。如果密码更长，可以利用hashcat的分布式密码破解功能，在几天内破解密码。

基于iCloud和Google Cloud的应用主要分为三类：司法取证、数据恢复和家长控制。我们的公司主要从事数据恢复业务，通过提取iCloud中的历史备份数据来恢复数据。此外，我们还在iCloud的基础上开发了更多功能，提供用户友好的数据展示界面，方便管理iCloud中的数据。此外，云数据取证可以为司法取证提供时间相关数据，并可以恢复已删除的数据，例如微信聊天记录。家长控制也是一个适合云数据的应用场景，家长可以获得授权，实时监控孩子的活动，以更好地保护他们免受危险。

最后，通过实例演示了如何在没有密码的情况下获取iCloud数据。通过获取PC/Mac的密码，我们可以绕过二步验证，并获取到iCloud中的数据。在Windows上，使用苹果系软件如iCloud面板和iTunes等，这些工具会缓存Token，而这些Token是使用当前登录的账户密码进行加密的。通过破解PC/Mac的密码，我们可以解密com.apple.AOSkit.plist文件，其中保存了Token。这个Token可以用于向iCloud服务器发送请求，获取用户的数据。用户的数据以复杂的组织形式存在，密钥使用椭圆曲线加密，数据使用AES加密。用户的数据在苹果云端以文件和容器的形式组织，通过解析这些数据，我们可以获取用户的通讯录和其他各种数据，包括备份和同步的数据。

最后，我想强调的是，最重要的不是上述技术，而是我们应该遵守法律，不要从事违法活动，并避免与他人产生冲突。

请注意：点击原文链接查看完整演讲PPT。其他演讲PPT将在获得讲师许可后陆续发布，请继续关注看雪论坛和看雪学院公众号！

安全研究视角看macOS平台EDR安全能力建设
公众号ID：ikanxue
官方微博：看雪安全
商务合作：wsc@kanxue.com