Day-10

 Positive Day 10 

UFED  CTF မှာ Itune Backup တွေ PC တွေပါလာတာတွေ့လို့ပါ။ 

Working With Itunes Backup 

Iphone 13 မထွက်ခင် Elcomsoft (Russia Mobile Forensics Product CEO က Iphone 13 ထွက်လာတော့မှာ ဖြစ်တဲ့အတွက် လူတွေက Icloud backup တွေလုပ်ပြီး ဖုန်းတွေချိန်းတော့မှာ ဖြစ်ကြောင်းပြောကြားခဲ့တယ်။ 

Itune Bckup ကိုလုပ်တဲ့သူရှိသလို မလုပ်တဲ့သူလဲရှိနိုင်ပါတယ်။ လူအပေါ်မူတည်တာပေါ့။ Itune Backup မှာက အရင်က data တွေအပြင် By Passed Certificate နဲ့ Lock Down Certificate တွေပါနိုင်ပါတယ်။ (Password မလိုပဲ login ၀င်လို့ရတဲ့ အနေအထားပါ။)

နောက်ပိုင်း Apple Watch Information ကလဲ Itune Backup ထဲမှာပါလာပါတယ်။ 

Itune Backup Acquisition 

Itune Backup ကိုတော့ အခြား Acquisition Methods တွေအသုံးမပြုနိုင်တဲ့ အခါမျိုးမှာ အသုံးပြုကြတာများပါတယ်။  Itune ကို ကောင်းကောင်းအသုံးပြုတတ်ဖို့ပဲ လိုအပ်ပါတယ်။ Commercial Tools တွေမှာလဲ Itune Backup ကို အလွယ်တကူ Analysis လုပ်နိုင်ပါတယ်။ Open source Tools တွေလဲ ရှိပါတယ်။ Forensics Purpose  အတွက် Itune Backup လုပ်တဲ့နေရာမှာ အရေးကြီးတဲ့ အချက်ကတော့ (Encryp Local Backup) ကို Itune မှာ အမှန်ခြစ်ပေးဖို့ပဲဖြစ်ပါတယ်။

Encrypted Backup လုပ်မှသာ Passwords, WiFi Setting, Web Browsing History တို့ပါ၀င်မှာ ဖြစ်ပါတယ်။  

Itune Backup On Window & Mac Computer 

User ကနေ Data တွေပျက်မှာစိုးလို့ပဲ ဖြစ်ဖြစ် အခြားအကြောင်းအရင်းတစ်ခုခုကြောင့်ပဲ ဖြစ်ဖြစ် သူတို့ ကွန်ပျူတာမှာ Backup ထားတတ်ပါတယ်။ Icloud မှာလဲ  backup ထားနိုင်ပါတယ်။

တစ်ကယ်လို့ User Phone က Wipe Or Reset လုပ်ထားရင်တောင် Evidence တွေက Itune Backup Or Icloud မှာ ရှိနေနိုင်ပါတယ်။ Wipe လုပ်လိုက်တဲ့အခါမှာ Apple Encryption ပျက်သွားတဲ့အတွက် Data တွေကို ပြန်ပြီး Recovery မရနိုင်ပါ။ 

(Can't Recovery Data From Itune Backup)

Window မှာတော့ Itune Backup ရဲ့ Default Location နေရာက 

C-Users -Username-AppData-Roaming-

AppleComputer-MobileSync-Backup 

MacOS  မှာတော့ Itune Backup ရဲ့ Default Location နေရာက 

Home-Library-Application-MobileSync-Backup 

အသုံးပြုသူတော်တော်များများက Click - Click နဲ့ပဲ Install လုပ် Backup လုပ်ကြတာများလို့ Default Location ကို မှတ်သားရတာဖြစ်ပါတယ်။ 

Default Location ပြောင်းတာ Backup Name ပြောင်းတာကတော့ အသုံးပြုသူအပေါ်မူတည်ပါတယ်။ 

Itune နဲ့ Backup လုပ်တဲ့ ပထဆုံးအချိန်အခါမှာ Itune က Backup Directory ကို Create လုပ်ပြီး Idevices ကို Fully Backup လုပ်ပါတယ်။ နောင်အခါ 2nd, 3rd, 4th, etc ... လုပ်တဲ့ အချိန်မှာတော့ Itune က အရင်ရှိနေပြီးသား Data တွေကို Backup မလုပ်တော့ပဲ အခုအနေအထားမှာ Modified ဖြစ်တဲ့ Data (ယခင် Itune Backup မှာ မရှိတဲ့ Data) တွေကိုပဲ Backup လုပ်ပါတယ်။ 

Itune Backup ရဲ့ Default Backup Name ကတော့ 

[ Unique Device Identifier (UDID)- (ISO Date)- Time(24H Format) ]

Idevices ရဲ့ UDID နဲ့  Backup လုပ်တဲ့ ရက်စွဲ အချိန်တို့ ဖြစ်ပါတယ်။ 

Itune Backup မှာ ဘာတွေပါသလဲဆိုရင် 

SIM card info, Contacts, SMS, Photo, Calendar, Music, Call log, Configuration Files, Keychain, documents, network settings, Web Cache, bookmarks, Cookies, App Data, တို့ပါ၀င်ပါတယ်။ 

(App Data မှာ User Selected App Info ပဲ ပါ၀င်မှာပါ)

အကယ်လို့ User က Backup လုပ်တဲ့အချိန်မှာ Itune မှာ Encrypted Backup ကို မရွေးခဲ့ဘူးဆိုရင်တော့ Password တွေမပါပါဘူး။

Strandard File In ITune Backup 

IOS 10 ကနေစပြီး Itune Backup မှာ ပါ၀င်လာတဲ့ Standard File 4 ခုကတော့ 

Info.Plist 

Manifest.Plist

Mainfest.db

Status.Plist

info.plist - Details About Backup Device Information

Manifest.Plist - Contents Of The Backup 

Mainfest.db - SQLite Database 

Status.Plist - Deatail About Backup Status