专利名称:iPhone手机加密备份文件的破解及还原系统的制作方法
技术领域:
本发明属于移动设备信息安全及取证技术领域,涉及一种文件解密及还原系统,尤其涉及一种对iPhone手机加密备份文件进行破解和还原的系统,可以弥补现有手机取证技术的不足,便于公职部门进行取证及案件侦破 。
背景技术:
目前,随着国内外通信技术的大跨步发展,手机等移动设备不断推陈出新,种类越来越多,功能越来越强大,人们对这些移动设备的依赖性也越来越强。这其中手机最为突出,已逐渐成为了一种个人数据管理设备。但手机在给人们的生活带来方便的同时,涉及手机信息的案件也在不断增加。对于办案人员来说,嫌疑人手机中的数据很可能提供重要的案件线索,因此,产生了许多手机取证的设备和系统。但iPhone智能手机的出现,由于它可以对手机中的数据进行备份加密处理,使得目前的手机取证设备无法正常的提取iPhone手机中的数据。iPhone手机的备份文件是通过在电脑上应用iTunes软件进行加密的,加密后的备份文件会按照唯一的路径保存在电脑中。一旦iPhone手机进行了加密备份操作,手机取证系统将无法提取手机中的数据,原因是文件的格式被修改为加密格式,手机取证系统无法对文件进行处理和解析。
发明内容
本发明的目的是针对上述现有的手机取证技术中存在的问题,提供一种针对iPhone手机加密备份文件的破解及还原系统,通过破解密码直接还原iPhone手机加密备份文件,从而获得手机中的数据,以弥补现有手机取证技术的不足。为达到上述目的,本发明采用如下技术方案一种iPhone手机加密备份文件的破解及还原系统,包括⑶I模块、密码破解模块、还原备份文件模块和查看keychain模块;所述GUI模块为图形用户界面,用于用户与设备的交互操作;所述密码破解模块关联所述GUI模块,用于对加密文件进行破解,获得破解密码;所述还原备份文件模块从密码破解模块接收所述破解密码,对加密备份文件进行还原并按照用户预设的还原路径输出;所述查看keychain模块从密码破解模块接收所述破解密码,查看存放在keychain中的数据,并反馈至所述⑶I模块。进一步地,通过所述⑶I模块实现的用户与设备的交互操作包括为所述密码破解模块提供加密备份文件的储存路径;设置加密备份文件的还原路径;接收来自所述密码破解模块、所述还原备份文件模块和所述查看keychain模块的数据并进行显示。进一步地,所述密码破解模块利用暴力破解技术,对iPhone手机的加密文件进行破解。
进一步地,所述还原备份文件模块对备份文件夹中的manifest, mbdb文件中的原始文件名进行SHAl计算,计算后的文件名与加密格式的文件名进行比对,找到匹配的文件后,将加密格式的文件名修改为原始文件名。进一步地,所述密码破解模块采用暴力破解方法进行破解,具体过程为将破解字典中的一条记录记为Passcode,该Passcode经PBKDF2解密算法得到Passcode key,Passcode key与class key密文经AES Unwrap解密算法得到class key的明文,在AESUnwrap解密过程中进行完整性检查,若检查成功,贝U所述Passcode即为破解密码。进一步地,所述还原备份文件模块通过下述方法对文件内容进行破解首先将由密码破解模块得到的密码Passcode经PBKDF2解密算法得到Passcode key,再经AESUnwrap解密算法得到class key,再经AES Unwrap解密算法解密manifest, mbdb文件中的AES key密文得到AES key明文;最后通过AES key明文得到文件的原始内容。进一步地,所述Keychain中的数据包括密码、私钥、电子证书和加密笔记。
本发明的目的是针对上述现有的手机取证技术中存在的问题,提供一种针对iPhone手机加密备份文件的破解及还原系统,通过破解密码直接还原iPhone手机加密备份文件,从而获得手机中的数据,可以集成在现有的手机取证系统内部,作为一个附属系统,便于公职部门进行取证及案件侦破。
图I为本发明实施例的iPhone手机加密备份文件的破解及还原系统的组成结构示意图。图2为本发明实施例中对iPhone手机加密备份文件进行破解及还原的工作流程图。图3为图I中还原备份文件模块的工作原理示意图。
具体实施例方式下面通过具体实施例并配合附图,对本发明做详细的说明。iPhone手机的备份文件是通过在电脑上应用iTunes软件进行加密的,加密后的备份文件会按照唯一的路径保存在电脑中。一旦iPhone手机进行了加密备份操作,手机取证系统将无法提取手机中的数据,原因是文件的格式被修改为加密格式,手机取证系统无法对文件进行处理和解析。图I为本实施例的iPhone手机加密备份文件的破解及还原系统的组成结构示意图。如该图所示,该系统包括=GUI模块,用于电脑、用户及模块之间交互操作;密码破解模块,用于获取加密备份文件密码;还原备份文件模块,用于还原原始文件;查看keychain模块,用于显示iPhone手机密码管理库中的数据。四个模块中,密码破解模块、还原备份文件模块和查看keychain模块依次关联(连接)GUI模块,此外,还原备份文件模块和查看keychain模块分别关联(连接)密码破解模块。图2为应用图I所示系统对iPhone手机加密备份文件进行破解及还原的工作流程图。具体说明如下I)进入系统后,用户通过GUI模块选择备份文件在电脑中的存储路径。可以提供一个储存路径。2)运行密码破解模块,系统主动攻击加密文件,对加密文件进行破解。该模块利用暴力破解技术,自动快速获取iPhone手机的加密备份文件的密码。该模块只能对iPhone手机的加密备份文件进行破解,对其它移动设备的加密文件无法破解,因为该模块采用了本发明特别设计的破解方法,具体如下首先将破解字典中的一条记录(称为Passcode)经PBKDF2 (RFC 2898,参见www.ietf. org/rfc/rfc2898. txt)解密算法(所需的参数存储于备份文件的manifest, plist文件中)得到 Passcode key, Passcode key 与 class key 密文(存储于 manifest, plist 文件中)经 AES Unwrap (RFC 3394,参见 www. ietf. org/rfc/rfc3394. txt)解密算法得到 classkey的明文,在AES Unwrap解密过程中,进行完整性检查,若检查成功(判断成功与否的方法详见WWW. ietf. org/rfc/rfc3394. txt),则所述Passcode即为最终密码。若检查不成功,则对下一条记录重复进行上述操作,直至检查成功并得到破解密码。
密码破解模块可以将生成的密码传递给GUI模块,以直接显示给用户;另一方面还将密码传递给还原备份文件模块。3)还原备份文件模块接收由密码破解模块生成的密码,将加密格式的文件还原为原始的文件格式并按照指定路径生成备份文件。通过该模块可以直接浏览手机中的图片、视频、音频等多媒体文件。还原路径可以通过⑶I模块设置。图3为上述系统中还原备份文件模块的工作原理示意图。还原备份文件的前提是已获得了备份文件的初始密码(即运用密码破解模块得到的密码),在还原时,要做两方面的操作对文件名的修改和对文件内容的破解。—方面,运行还原备份文件模块后,该模块自动对备份文件夹中的manifest, mbdb文件中的原始文件名进行SHAl计算(参见www. ietf. org/rfc/rfc3174. txt),计算后的文件名与加密格式的文件名进行比对,找到匹配的文件后,将加密格式的文件名修改为原始文件名。另一方面,该模块会主动攻击加密格式的文件,对加密格式文件的内容进行解密,获得原文件的内容。结合上述两个方面,最终可以恢复完整的原文件。其中,对文件内容的破解过程如下首先将密码破解模块得到的密码Passcode经PBKDF2 (RFC 2898,参见www. ietf.org/rfc/rfc2898. txt)解密算法得到 Passcode key,再将 Passcode Key 经 AES Unwrap(RFC 3394,参见 www. ietf. org/rfc/rfc3394. txt)解密算法得到 class key (明文),最后将 classkey 经 AES Unwrap (RFC 3394)解密算法解密 manifest, mbdb 文件中的 AES key密文得到AESkey的明文,AES key即为最后的密钥。备份文件中的内容就是将原始内容经AES key加密得到密文,还原时只要将密文通过密钥AES key解密即可得到文件的原始内容。须说明的是,文件内容的破解与密码破解模块的密码破解不同。密码破解模块的密码破解是将字典中的密码序列对备份文件中的manifest, plist文件中的keybag进行解密,若解密成功,则完成了密码破解。这与上述文件内容的密码破解是不同的过程。4)备份文件生成后,查看keychain模块可以显示出iPhone手机的密码管理系统keychain中的多种私密数据,并反馈给⑶I模块,显示给用户。
Keychain是苹果公司MAC OS中的密码管理系统。一个钥匙可以包含多种类型的数据密码(包括网站、SSH账户、网络共享、无线网络,群组邮件、加密磁盘映像等)、私钥、电子证书和加密笔记等。因此keychain中保存了许多的账户信息,因此设置查看keychain功能给用户获得更多的手机内部数据。查看Keychain模块实现的是keychain文件的解析。在文件还原模块中,Keychain文件(keychain-backup. plist)从加密文件被解密成了正常文件(但是其中的一些数据仍然是二次加密的),本模块就是在此基础上解析出该文件中保存的加密用户隐私数据。Keychain文件的还原过程参照文件还原模块,其解析过程具体为密码破解模块得到的 class key 和 keychain-backup. plist 文件中的加密 AES key 经过 AES Unwrap 算法(rfc3394)计算得到 AES key 的明文;然后通过 AES key 解密 keychain-backup. plist中的加密数据,解密算法是AES CBC0这样就得到了 Keychain。以上实施例仅用以说明本发明的技术方案而非对其进行限制,本领域的普通技术 人员可以对本发明的技术方案进行修改或者等同替换,而不脱离本发明技术方案的精神和范围,本发明的保护范围应以权利要求所述为准。
权利要求
1.一种iPhone手机加密备份文件的破解及还原系统,包括⑶I模块、密码破解模块、还原备份文件模块和查看keychain模块; 所述Gn模块为图形用户界面,用于用户与设备的交互操作; 所述密码破解模块关联所述GUI模块,用于对加密备份文件进行破解,获得破解密码; 所述还原备份文件模块接收所述破解密码,对加密备份文件进行还原并按照用户预设的还原路径输出; 所述查看keychain模块接收所述破解密码,查看存放在keychain中的数据,并反馈至所述⑶I模块。
2.如权利要求I所述的系统,其特征在于,所述GUI模块为所述密码破解模块提供加密备份文件的储存路径。
3.如权利要求I所述的系统,其特征在于,所述GUI模块为所述还原备份文件模块提供加密备份文件的还原路径。
4.如权利要求I所述的系统,其特征在于,所述GUI模块接收来自所述密码破解模块、所述还原备份文件模块和所述查看keychain模块的数据并进行显示。
5.如权利要求I所述的系统,其特征在于,所述密码破解模块采用暴力破解方法进行破解,具体过程为 将破解字典中的一条记录记为Passcode,该Passcode经PBKDF2解密算法得到Passcode key, Passcode key 与 class key 密文经 AES Unwrap 解密算法得到 class key 的明文,在AESUnwrap解密过程中进行完整性检查,若检查成功,则所述Passcode即为破解密码。
6.如权利要求I所述的系统,其特征在于,所述还原备份文件模块对备份文件夹中的manifest, mbdb文件中的原始文件名进行SHAl计算,计算后的文件名与加密格式的文件名进行比对,找到匹配的文件后,将加密格式的文件名修改为原始文件名。
7.如权利要求I所述的系统,其特征在于,所述还原备份文件模块通过下述方法对文件内容进行破解 首先将由密码破解模块得到的密码Passcode经PBKDF2解密算法得到Passcode key,再经AES Unwrap解密算法得到class key,再经AES Unwrap解密算法解密manifest, mbdb文件中的AES key密文得到AES key明文;最后通过AES key明文得到文件的原始内容。
8.如权利要求I所述的系统,其特征在于,所述Keychain中的数据包括密码、私钥、电子证书和加密笔记。
全文摘要
本发明提供一种针对iPhone手机加密备份文件的破解及还原系统,包括GUI模块、密码破解模块、还原备份文件模块和查看keychain模块。GUI模块为图形用户界面,用于用户与设备的交互操作;密码破解模块关联GUI模块,用于对加密文件进行破解,获得破解密码;还原备份文件模块接收破解密码,对加密备份文件进行还原;查看keychain模块接收破解密码,查看存放在keychain中的数据。本发明通过破解密码直接还原iPhone手机的加密备份文件,从而获得手机中的数据,可以集成在现有的手机取证系统内部,便于公职部门进行取证及案件侦破。
文档编号H04M1/725GK102750495SQ20121018740
公开日2012年10月24日 申请日期2012年6月7日 优先权日2012年6月7日
发明者孙波, 曹雪芬, 金星 申请人:北京锐安科技有限公司