BigData iTunes Backup1

Adli bilişim uzmanları bazen veri kurtarılmak üzere hasar görmüş iTunes yedekleri ile karşılaşabilmektedirler. iTunes yedeklerinin muhtemel hasar görme sebepleri şunlar olabilir.

  • Mobil cihazdan kaynaklanan fiziksel arızalar
  • Yazılım tabanlı hatalar
  • ITunes ile bilgisayarda yüklü olan diğer yazılımların çakışması
  • Adli yazılımdan kaynaklanan hatalar

Magnet ACQUIRE Adli Bilişim yazılımı ile tespit edilen hata kayıtları,

2016-05-27 00:50:46 Bilgi: Magnet ACQUIRE v2.0.0.0699

2016-05-27 00:50:46 Bilgi: İşletim Sistemi Sürümü: 6.2.9200.0

2016-05-27 00:50:46 Bilgi: İşletim Sistemi Platformu: Win32NT

2016-05-27 00:50:46 Bilgi: Hizmet Paketi:

2016-05-27 00:50:46 Bilgi: 64-bit İşletim sistemi: True

2016-05-27 00:50:46 Bilgi: 64-Bit İşlem: Yanlış

2016-05-27 00:50:46 Bilgi: CLR Sürümü: 4.0.30319.42000

2016-05-27 00:50:46 Bilgi: Çalışma Kümesi: 44683264

2016-05-27 00:51:40 Bilgi: '1b85cec2c4d48781714a60cc873c4f5dab09baf8' cihazında yedekleme başlatılıyor.

2016-05-27 01:02:14 Bilgi: '1b85cec2c4d48781714a60cc873c4f5dab09baf8' cihazından sıkıştırma yedek dosya sistemini başlatıyor.

2016-05-27 01:26:02 Bilgi: '1b85cec2c4d48781714a60cc873c4f5dab09baf8' cihazı için dosya röle başlatılıyor.

2016-05-27 01:26:03 Hata: '1b85cec2c4d48781714a60cc873c4f5dab09baf8' aygıtı için dosya rölesi okumaya çalışılırken bir istisna yakalandı.

System.NotSupportedException: Dosya geçişi iOS 8+'de desteklenmiyor

File1020'deki Magnet.Imager.Imaging.Plugins.Ios.FileRelay.AppleFileRelay.cd8260afba5f30039d3b89508b36a701e (String, IDeviceProperties, IntPtr, IEnumerable`1, ILogger) 'de: line 96

File1020'de Magnet.Imager.Imaging.Plugins.Ios.FileRelay.AppleFileRelay.PerformFileRelayForSources (IDeviceProperties aygıtproperties, String çıktıDizimi, String outputFilePath, IEnumerable`1 kaynakları): 54 satırında

File1013'teki Magnet.Imager.Imaging.Plugins.Ios.Backups.ItunesBackupImager.Start (ID aygıt aygıtı, ILogger günlükçüsü, String outputFolderPath, IImagingProgressReporter görüntüleme ProgressReporter, ICancellationToken cancelationToken, IDeviceImagingSettings DeviceImagingSettings): satır 171'de

2016-05-27 01:26:03 Bilgi: (tekrar) AFC hizmetini başlatıyor.

2016-05-27 01:26:03 Hata ayıklama: Kilitleme emanetini kullanarak cihazdaki AFC servisini başlatma.

2016-05-27 01:27:13 Hata: '1b85cec2c4d48781714a60cc873c4f5dab09baf8' aygıtı için dosya sistemi ayıklaması alınamadı.

System.InvalidOperationException: Çağrı dönüş kodu AFC_E_MUX_ERROR ile başarısız oldu.

File1200'teki Magnet.IMobileDeviceWrapper.Afc.AfcDriver.c308c49f6daaf28ef75e86637cff93e1c'de (AfcError, String): 222 satırında

File1200 içindeki Magnet.IMobileDeviceWrapper.Afc.AfcDriver.GetFileSystemEntries öğesinde (IntPtr afcClientHandle, Dizin directoryPath): 84. satır

File1201'deki Magnet.IMobileDeviceWrapper.Afc.AppleFileConduit.c9d6086f5fe81acdc74e3701276fcf7ec.MoveNext () adresinde: line 80

File1201'deki Magnet.IMobileDeviceWrapper.Afc.AppleFileConduit.c9d6086f5fe81acdc74e3701276fcf7ec.MoveNext () adresinde: line 91

File1201'deki Magnet.IMobileDeviceWrapper.Afc.AppleFileConduit.c9d6086f5fe81acdc74e3701276fcf7ec.MoveNext () adresinde: line 91

File1201'deki Magnet.IMobileDeviceWrapper.Afc.AppleFileConduit.c9d6086f5fe81acdc74e3701276fcf7ec.MoveNext () adresinde: line 91

File1201'deki Magnet.IMobileDeviceWrapper.Afc.AppleFileConduit.c9d6086f5fe81acdc74e3701276fcf7ec.MoveNext () adresinde: line 91

File1201'deki Magnet.IMobileDeviceWrapper.Afc.AppleFileConduit.c9d6086f5fe81acdc74e3701276fcf7ec.MoveNext () adresinde: line 91

System.Linq.Enumerable.WhereEnumerableIterator`1.MoveNext () adresinde

At System.Linq.Buffer`1..ctor (IEnumerable`1 kaynak)

System.Linq.Enumerable.ToArray öğesine atın [TSource] (IEnumerable`1 source)

File1021 dosyasındaki Magnet.Imager.Imaging.Plugins.Ios.Logical.FileSystemAcquirer.AcquireFilesystem (IntPtr aygıtHandle, Boolean fromRootOfDevice, String outputFilePath, IImagingProgressReporter görüntüleme ProgressReporter, ICancellationToken cancelationToken): satır 76

File1013'teki Magnet.Imager.Imaging.Plugins.Ios.Backups.ItunesBackupImager.Start (ID aygıt aygıtı, ILogger günlükçüsü, String outputFolderPath, IImagingProgressReporter görüntüleme ProgressReporter, ICancellationToken cancelationToken, IDeviceImagingSettings DeviceImagingSettings): satır 194'te

BigData iTunes Backup2

Şekil 1. Hasar görmüş yedek # 1'in bir parçası

BigData iTunes Backup3

Şekil 2. Hasar görmüş yedek # 2'nin bir parçası

İlk yedekleme, bozuk bir iOS cihazından çıkarıldı. Gerçek şu ki, şekilde çıkarılan tüm verileri görebilirsiniz. Gördüğünüz gibi Manifest.mbdb ve Manifest.plist gibi önemli dosyalar yok İkinci yedekleme işlemi, bilinmeyen bir nedenle bir hata ile tamamlandı. Normal bir iTunes yedeklemesine benziyor olmasına rağmen, mobil cihaz adli yazılımı, yalnızca bazı verileri ayıklayabilir veya hiçbir şeyi ayıklayamaz.

Ancak her iki yedekleme de sıfır olmayan boyutlu dosyalardan oluşur; bu nedenle her ikisi de veri içerir (resim, video, arama günlükleri, SMS, MMS, kişiler vb.).

Mobil cihaz adli inceleme yazılımları ile bozuk bir iTunes yedeklemesinden veri kurtarma işlemi yaparak karşılaştırma yapıldı.

BigData iTunes Backup4

Şekil 3. Hasar görmüş bir iTunes yedeklemesinden

Oxygen Forensic Mobil Cihaz Adli Bilişim Yazılımı ile veri kurtarma sonuçları

Adli bilişim uzmanları bozulmuş olan yedeklemelerden veri kurtarma için mobil adli bilişim yazılım kullanır. Örneğin, Cellebrite UFED Physical Analyzer hasarlı iTunes yedeklemelerinden bazı verileri ayıklayabiliyor. Ancak, bizim düşüncemize göre çok fazla veri kurtaramıyor.

BigData iTunes Backup5

Şekil 4. UFED Fiziksel Analiz yazılımı ile ikinci yedeklemeden kurtarılan veriler

Adli bilişim yazılımı arasında yapılan karşılaştırma sonucunda; Belkasoft Evidence Center yazılımının hasar görmüş iTunes yedeklerinden diğer adli yazılımlara göre daha fazla veri kurtardığı görülmüştür.

BigData iTunes Backup6Şekil 5. Belkasoft Evidence Center ile ikinci yedeklemeden çıkarılan veriler

Görüldüğü gibi Belkasoft Evidence Center, UFED Physical Analyzer'dan daha fazla veri kurtardı. Mobil cihaz Adli Bilişim yazılımları kullanılarak yapılan karşılaştırmalarda verileri bozuk iTunes yedeklemelerinden kurtarma yapılabileceği görülmüştür. Bazı incelemelerde mobil cihaz tarafından yapılan bu bozuk yedeklemeler tek veri kaynağı olabilmektedir. Bu nedenle adli bilişim uzmanları açısından buradan veri kurtarma hayati önem kazanabilmektedir.

 

star forensic iletisim

mobil veri kurtarma

goruntu inceleme

  • Veri Kurtarma Yapılan Aygıtlar

hard-disk-kurtarma

  

flash-kurtarma

          

ss-veri-kurtarma

   

server-kurtarma

   

raid-kurtarma

   

dvr kayit

 

mobil

 
Hard Disk   USB Bellek   

SSD

 

Server

 

RAID

 

DVR-Kayıt Cihazı

   Mobil Cihaz