技術領域

本發明屬于移動設備信息安全及取證技術領域，涉及一種文件解密及還原系統，尤其涉及一種對iPhone手機加密備份文件進行破解和還原的系統，可以彌補現有手機取證技術的不足，便于公職部門進行取證及案件偵破。

背景技術

目前，隨著國內外通信技術的大跨步發展，手機等移動設備不斷推陳出新，種類越來越多，功能越來越強大，人們對這些移動設備的依賴性也越來越強。這其中手機最為突出，已逐漸成為了一種個人數據管理設備。但手機在給人們的生活帶來方便的同時，涉及手機信息的案件也在不斷增加。對于辦案人員來說，嫌疑人手機中的數據很可能提供重要的案件線索，因此，產生了許多手機取證的設備和系統。

但iPhone智能手機的出現，由于它可以對手機中的數據進行備份加密處理，使得目前的手機取證設備無法正常的提取iPhone手機中的數據。iPhone手機的備份文件是通過在電腦上應用iTunes軟件進行加密的，加密后的備份文件會按照唯一的路徑保存在電腦中。一旦iPhone手機進行了加密備份操作，手機取證系統將無法提取手機中的數據，原因是文件的格式被修改為加密格式，手機取證系統無法對文件進行處理和解析。

發明內容

本發明的目的是針對上述現有的手機取證技術中存在的問題，提供一種針對iPhone手機加密備份文件的破解及還原系統，通過破解密碼直接還原iPhone手機加密備份文件，從而獲得手機中的數據，以彌補現有手機取證技術的不足。

為達到上述目的，本發明采用如下技術方案：

一種iPhone手機加密備份文件的破解及還原系統，包括GUI模塊、密碼破解模塊、還原備份文件模塊和查看keychain模塊；

所述GUI模塊為圖形用戶界面，用于用戶與設備的交互操作；

所述密碼破解模塊關聯所述GUI模塊，用于對加密文件進行破解，獲得破解密碼；

所述還原備份文件模塊從密碼破解模塊接收所述破解密碼，對加密備份文件進行還原并按照用戶預設的還原路徑輸出；

所述查看keychain模塊從密碼破解模塊接收所述破解密碼，查看存放在keychain中的數據，并反饋至所述GUI模塊。

進一步地，通過所述GUI模塊實現的用戶與設備的交互操作包括：

為所述密碼破解模塊提供加密備份文件的儲存路徑；設置加密備份文件的還原路徑；接收來自所述密碼破解模塊、所述還原備份文件模塊和所述查看keychain模塊的數據并進行顯示。

進一步地，所述密碼破解模塊利用暴力破解技術，對iPhone手機的加密文件進行破解。

進一步地，所述還原備份文件模塊對備份文件夾中的manifest.mbdb文件中的原始文件名進行SHA1計算，計算后的文件名與加密格式的文件名進行比對，找到匹配的文件后，將加密格式的文件名修改為原始文件名。

進一步地，所述密碼破解模塊采用暴力破解方法進行破解，具體過程為：將破解字典中的一條記錄記為Passcode，該Passcode經PBKDF2解密算法得到Passcode?key，Passcode?key與class?key密文經AES?Unwrap解密算法得到class?key的明文，在AES?Unwrap解密過程中進行完整性檢查，若檢查成功，則所述Passcode即為破解密碼。

進一步地，所述還原備份文件模塊通過下述方法對文件內容進行破解：首先將由密碼破解模塊得到的密碼Passcode經PBKDF2解密算法得到Passcode?key，再經AES?Unwrap解密算法得到class?key，再經AES?Unwrap解密算法解密manifest.mbdb文件中的AES?key密文得到AES?key明文；最后通過AES?key明文得到文件的原始內容。

進一步地，所述Keychain中的數據包括：密碼、私鑰、電子證書和加密筆記。

本發明的目的是針對上述現有的手機取證技術中存在的問題，提供一種針對iPhone手機加密備份文件的破解及還原系統，通過破解密碼直接還原iPhone手機加密備份文件，從而獲得手機中的數據，可以集成在現有的手機取證系統內部，作為一個附屬系統，便于公職部門進行取證及案件偵破。

附圖說明

圖1為本發明實施例的iPhone手機加密備份文件的破解及還原系統的組成結構示意圖。

圖2為本發明實施例中對iPhone手機加密備份文件進行破解及還原的工作流程圖。

圖3為圖1中還原備份文件模塊的工作原理示意圖。