Статьи

Проведение компьютерно-технической экспертизы мобильных устройств: получение истории переписки Skype из резервной копии iPhone/iPad

13.03.2013

/

Для начала разберемся, что из себя представляет резервная копия мобильных устройств компании Apple. У каждого устройства iPhone/iPad есть свой уникальный идентификатор UDID (Unique Device ID). При первом подключении iPhone/iPad к компьютеру iTunes автоматически создает папку с именем UDID устройства и помещает в нее резервную копию устройства. В таблице 1 для нескольких операционных систем указаны каталоги, в которых iTunes хранит резервные копии.



Таблица 1 – Пути к резервным копиям iPhone/iPad для разных ОС

Операционная системаПуть
Windows XPC:\Documents and Settings\[папка пользователя]\Application Data\Apple Computer\MobileSync\Backup\
MAС OS X[домашняя папка пользователя]/Library/Application Support/MobileSync/Backup/
Windows 7/8C:\Users\[папка пользователя]\AppData\Roaming\Apple Computer\MobileSync\Backup\

Резервная копия включает информацию об устройстве, а именно: серийный номер, UDID, информацию о SIM и номер телефона. Папка с резервной копией iPhone/iPad содержит в себе список файлов, которые находятся в нечитаемом формате. Имена таких файлов состоят из 40 буквенно цифровых шестнадцатеричных значений. В качестве примера на рисунке 1 продемонстрировано содержимое папки резервной копии iPad, являющейся нашим тестовым образцом.

Skype

Рисунок 1 – Содержимое папки с резервной копией


Большинство этих файлов представляют собой БД SQLite. Для просмотра содержимого БД, воспользуемся бесплатную утилиту «iPhone Backup Extractor» (далее – IBE), которую можно скачать по ссылке: http://code.google.com/p/iphonebackupbrowser/.

Мы будем исследовать приложение Skype. Находим его в окне утилиты IBE, как показано на рисунке 2.

Skype

Рисунок 2 – Пример содержимого приложения Skype


IBE экспортирует всю папку приложения Skype: настройки, мгновенные сообщения, звонки, голосовые сообщения, SMS и переданные файлы. В качестве примера на рисунке 3 продемонстрировано содержимое папки «FileTransferStorage», являющейся хранилищем переданных файлов.

Skype

Рисунок 3 – Содержимое папки «FileTransferStorage»


Итак, перейдем к главному, а именно к извлечению переписки из файлов приложения Skype. Для экспорта данных воспользуемся бесплатной утилитой «SkypeLogView», которую можно скачать по ссылке: http://www.nirsoft.net/utils/skype_log_view.html.

Единственное действие, которое необходимо сделать специалисту, – это указать папку пользователя Skype, как это показано на рисунке 4.

Skype

Рисунок 4 – Пример задания пути к папке с файлами Skype


Skype

Рисунок 5 – Пример отображения истории переписки Skype в SkypeLogView


Хотелось бы отметить, что Skype поддерживает функцию синхронизации сообщений, которая обеспечивает «актуализацию» истории сообщений между разными типами устройств (MacBook, PC, iPad, iPhone и д.р.) при их нахождении в сети. Это существенно сокращает время получения специалистом переписки из нескольких устройств с одинаковыми профилями.

Что делать, если резервная копия защищена паролем, каким образом преодолеть защиту и как получить список паролей (keychain) пользователя iPhone/iPad, будет описано в следующей статье, посвящённой анализу резервных копий Skype.