在我們所用的iOS 設(shè)備中，媒體文件占了很大一部分內(nèi)存，也是我們使用頻率最高的內(nèi)容，媒體文件包括音頻、圖片、視頻、文本等。一般情況下我們會在手機里面直接閱讀這些內(nèi)容，但一旦手機內(nèi)存不夠或是出現(xiàn)其它情況，我們就想到把它們提取出來，存放到其它位置。這時掌握快速的提取方法就非常的重要了，尤其是對于保存在EXIF元數(shù)據(jù)中的地理標(biāo)記（位置數(shù)據(jù)）。

也許看到這，有些用戶可能會問了，就是導(dǎo)出文件，插根線或是通過網(wǎng)絡(luò)發(fā)送的方式導(dǎo)出來不就可以了嗎，還需要單獨地拿來討論嗎？在這里我要說明的是，從Android智能手機中提取圖片和視頻是非常容易的。但對于使用iOS設(shè)備的用戶來說，提取媒體文件雖然就是個非常復(fù)雜的過程，本文就讓我們來看看如何在解鎖和鎖定兩種模式下，從iOS設(shè)備中提取媒體文件，中間我會順帶介紹一些使用到的工具和提取技術(shù)。

提取媒體文件的方法

目前，我已經(jīng)掌握了多種可以用來提取媒體文件的方法。本文我會介紹三種提取的方法，分別是物理采集法（Physical acquisition）、邏輯采集法（Logical acquisition ）、媒體提取法（Media extraction）。

物理采集仍然是iOS 設(shè)備可用的最佳采集方法，但是，如果設(shè)備被鎖定，或者你不知道密碼，又或者如果當(dāng)前運行的iOS版本沒有越獄，則物理采集就很難實現(xiàn)了。 不過，我有理由相信iOS 10.3、iOS11.0、iOS11.1會在不久的將來發(fā)布公開越獄。所以考慮到所有的復(fù)雜因素，下面講到的邏輯采集才是我的首選方法。

邏輯采集是一種安全，簡單的物理采集替代方案。邏輯采集不但可以提取所有的媒體文件，而且是一種干凈且相對較快的方法。更重要的是，如果你想得到一個有效的鎖定文件（配對記錄），那即使在密碼不知道的情況下，也可以從鎖定的設(shè)備上進(jìn)行ituns的備份。

但邏輯采集并非十全十美，并非在所有情況下都能生效。如果啟用了備份密碼，則可能成為提取的主要障礙。雖然可以在運行iOS 11的設(shè)備上重置備份密碼，但仍需要知道并輸入用戶的密碼才能執(zhí)行重置。在較舊的設(shè)備上，備份密碼更是一個障礙了。雖然在許多情況下，更新到ios11并刪除密碼可能是一種可行的策略，但出于其他一些目的，這個過程在法理依據(jù)上還值得商榷。另外，如上所述，你必須知道密碼才能升級操作系統(tǒng)并刪除備份密碼。如果設(shè)備被鎖定，并且你擁有的只是一個鎖定文件，邏輯采集你就不要考慮了。

不管你要提取的iOS設(shè)備是處于解鎖還是鎖定狀態(tài)，如果你已經(jīng)有了鎖定記錄并且在開機或重啟后至少解鎖了一次，則你還有第三種提取方法——媒體提取法。

媒體提取法就是通過使用iOS的專門計算機取證調(diào)查工具——Forensic Toolkit 2.50及更高版本（含有“M”命令），借助專用的機制來訪問和提取媒體文件，包括照片和視頻文件，照片和視頻的文件編輯信息，iBooks應(yīng)用程序里所含的書籍和PDF文件信息，錄音和來自iTunes媒體庫的信息。

媒體提取法絕對不是一我新發(fā)現(xiàn)的方法，因為它本質(zhì)上是利用了漏洞來進(jìn)行提取的。 iOS Forensic Toolkit利用iPhone上運行的服務(wù)的方法是這樣的：在圖像捕捉（macOS）和照片（Windows 10）應(yīng)用程序傳輸照片時，趁機連接到這些服務(wù)。但是，與這些應(yīng)用程序相比，iOS Forensic Toolkit獲取的信息要多得多。與Windows / Mac應(yīng)用程序相比，iOS Forensic Toolkit可以執(zhí)行以下操作：

1.除視頻和照片外，還可以提取音樂，iBooks和PDF文件。

2.對于每張圖片，iOS Forensic Toolkit都會提取圖片被編輯的信息，比如是否被編輯過，何時被編輯的。

3.支持鎖定記錄以從鎖定的設(shè)備中提取媒體文件。

很明顯，在了解完以上三種方法后，iOS Forensic Toolkit顯然是我們心中提取媒體文件的一把利器，既然如此，就讓我們看看iOS Forensic Toolkit具體是如何提取媒體文件的？

如何使用iOS Forensic Toolkit提取媒體文件

要使用iOS Forensic Toolkit（版本2.50或更高版本）從iPhone中提取媒體文件，你就要確定你所要提取的設(shè)備是解鎖的還是鎖定的？

以解鎖的iPhone為例，前提是使用iOS 11，且密碼是已知的。如果你即將提取的iPhone已經(jīng)解鎖，并且在運行iOS 11的情況下，你知道它的密碼，請執(zhí)行以下5個步驟：

1.通過調(diào)用Toolkit-JB命令啟動iOS Forensic Toolkit。

2.使用蘋果數(shù)據(jù)線將iPhone連接到電腦，如果你能夠解鎖iPhone，請通過確認(rèn)“Trust this computer？”提示符（iOS 11的情況下）輸入設(shè)備密碼來連接設(shè)備。

3.在主窗口中輸入“M” (Media) 命令：

4.如果該設(shè)備尚未與電腦連接，則系統(tǒng)會提示你輸入一個鎖定文件，以提供鎖定記錄的路徑，此時，當(dāng)出現(xiàn)提示時，可以將鎖定文件拖放到iOS Forensic Toolkit窗口中。此時，你就有了關(guān)于鎖定文件和它們的準(zhǔn)確位置的全面的記錄信息。如果鎖定文件有效，系統(tǒng)還會提示你保存媒體文件的路徑，默認(rèn)情況下為AFC，位于Windows上的當(dāng)前文件夾或macOS上的用戶Home文件夾下。

5.這些文件將被提取并保存在你的計算機上，根據(jù)提取的數(shù)據(jù)量不同，提取時間也會從幾秒鐘到半個小時不等。

訪問提取的數(shù)據(jù)

由于我的測試設(shè)備包含了15000多個文件，總大小為27GB，耗時大約20分鐘。所提取的文件會被自動保存，保存的位置位于被獲取的iOS設(shè)備的原始媒體文件夾結(jié)構(gòu)中。

雖然我提取的數(shù)據(jù)數(shù)量看起很多，但其中最重要的文件夾是：

1.DCIM文件夾：包含圖片和視頻，此文件夾包含多個名為“XXXAPPLE”的子文件夾，其中XXX是一個范圍從100到999的數(shù)字。實際上，如果你通過標(biāo)準(zhǔn)方式訪問該設(shè)備，則這是唯一可用的文件夾。

2.書籍文件夾：來自iBooks應(yīng)用程序的文件。

3. 購買的媒體文件夾：購買音樂（* .mp4文件），請注意，這些文件都不包含在iOS系統(tǒng)備份中。

4.照片數(shù)據(jù)文件夾：照片編輯信息（裁剪，應(yīng)用濾鏡和特殊效果等），相冊的鏈接信息，縮略圖信息。

5.媒體分析文件夾：照片分析數(shù)據(jù)（用于按類別/對象快速搜索）。

6.錄音文件夾：錄音，如語音片段。

除了這些文件夾之外，你還將獲得許多SQLite數(shù)據(jù)庫和PLIST文件。不過目前，我還沒有對這些數(shù)據(jù)庫進(jìn)行過分析。值得注意的是，在提取SQLite數(shù)據(jù)庫完整的WAL（寫入日志）和SHM數(shù)據(jù)時，其中還包括一些未完成操作的信息。

提取的圖像可能包含EXIF信息，其中位置數(shù)據(jù)可以說是最具爭議性的，在macOS上，你可以在預(yù)覽應(yīng)用程序中選擇 [Tools] 中的 [Show Inspector] ：

HEIF/HEVC文件上的媒體信息

iOS 11和macOS 11.13（High Sierra）增加了對HEIF（高效圖像文件格式）和HEVC（高效視頻編解碼器）格式的，包括iPhone 7/7 Plus和更新的iPad Pro 10.5和iPad Pro 12.9第二代。

由于這些格式比較新，并且目前沒有iOS 11和MacOS High Sierra以外的任何操作系統(tǒng)的本機支持，因此這些新格式捕獲的圖像可能會在你將其復(fù)制到計算機上時自動轉(zhuǎn)換為常用的格式。不過是否啟用自動轉(zhuǎn)換，則由iOS設(shè)備上的TRANFER TO MAC OR PC選項控制。如果該選項設(shè)置為“自動”，則在使用MacOS上的“圖像捕獲”或“照片”將圖像和視頻）傳輸?shù)接嬎銠C時，圖像（和視頻）將分別自動轉(zhuǎn)換為JPEG和MOV格式。

無論iOS設(shè)備的轉(zhuǎn)換設(shè)置如何進(jìn)行設(shè)置，Elcomsoft iOS Forensic Toolkit都會以各自的原始格式檢索照片和視頻。如果設(shè)備被鎖定，并且你通過鎖定記錄訪問媒體文件，則iOS Forensic Toolkit是市場上唯一能夠以原始格式提取媒體文件的工具。

總結(jié)

利用iOS Forensic Toolkit 2.50進(jìn)行媒體提取的方法是一種快速簡便的方法，可以從解鎖和鎖定的iPhone和iPad設(shè)備中提取媒體文件，而無需使用本地備份。