Elcomsoft iOS Forensics Toolkit: iPhone/iPad/iPod 设备取证工具包

news2024/12/25 0:14:32

天津鸿萌科贸发展有限公司是 ElcomSoft 系列取证软件的授权代理商。

Elcomsoft iOS Forensics Toolkit 软件工具包适用于取证工作,对 iPhone、iPad 和 iPod Touch 设备执行完整文件系统和逻辑数据采集。对设备文件系统制作镜像,提取设备机密(密码、加密密钥和受保护数据)并解密文件系统镜像。

  • 完整的文件系统提取和钥匙串解密
  • 逻辑获取提取备份、崩溃日志、媒体和共享文件
  • 旧版设备的密码解锁和物理获取
  • 提取并解密受保护的钥匙串项目
  • 通过修改后的引导加载程序,可提取特定 iPhone 和 iPad 型号数据,满足取证要求
  • 自动禁用屏幕锁定以实现平稳、不间断的采集

支持:各版本 iPhone、iPad、iPad Pro 和 iPod Touch、第一代 HomePod;Apple Watch、Apple TV 4 和 4K;从 iOS 3 到 iOS 17 的所有 iOS 版本

最新功能突破

 适用于 iOS 16.0 - 16.6.1 的完整低级提取和钥匙串解密

低级文件系统提取和钥匙串解密现在可用于比以往更广泛的 iOS 版本。完整的低级提取现已适用于 iOS 16 至 16.6.1。新方法支持采用 A11 和更新芯片构建的设备,有效覆盖 iPhone 8/8 Plus/iPhone X,以及 iPhone Xs/Xr 至 iPhone 14/14 Pro 系列,并支持许多 iPad,包括基于 Apple 的 iPad M1和M2芯片。

 增强对旧版设备的支持:在 Windows 和 Linux 中挂载 HFS 镜像

最新版本使 Windows 和 Linux 用户能够挂载从旧版 Apple 设备中提取的 HFS 磁盘镜像。这项新功能使专家能够在 Linux 和 Windows 计算机上高效地处理和分析从旧版 Apple 设备中提取的数字证据。

全功能介绍

 对运行 Apple iOS 的 iPhone/iPad/iPod 设备进行取证访问

对 iPhone/iPad/iPod 设备中存储的用户数据进行完整的取证采集。Elcomsoft iOS Forensic Toolkit 允许对设备的文件系统制作镜像、提取设备机密(密码、口令和加密密钥)并通过锁定记录访问锁定的设备。

支持以下提取方法:

  • 高级逻辑获取(备份、媒体文件、崩溃日志、共享文件)(所有设备、所有版本的 iOS)
  • 基于代理的直接提取(所有 64 位设备,选择 iOS 版本)
  • 基于引导加载程序的 checkm8 提取(选择设备),满足取证要求
  • 密码解锁和真实物理获取(选择32位设备)

 多平台可用性

iOS Forensic Toolkit 适用于 macOS、Windows 和 Linux。

Linux 版本正式支持 Debian、Ubuntu、Kali Linux 和 Mint

 完整文件系统提取和钥匙串解密

基于直接访问文件系统的低级提取方法可用于各种 iOS 设备和操作系统版本。该采集方法使用内部开发的提取工具,将提取剂安装到正在采集的设备上。该代理与专家的计算机进行通信,提供强大的性能和极高的提取速度,最高可达每分钟 2.5 GB 的数据。

使用提取代理对于设备本身来说本质上是安全的,因为它既不会修改系统分区,也不会重新安装文件系统。提取代理采用的低级提取技术产生的数据与通过 checkm8 等物理提取方法获得的数据一样多。文件系统镜像和所有钥匙串记录都可以根据操作系统版本进行提取和解密。

可以提取整个文件系统,也可以使用快速提取选项,仅从用户分区获取文件。通过跳过存储在设备系统分区中的文件,快速提取选项有助于减少完成工作所需的时间,并减少静态内容的存储空间。

Windows 和 Linux 用户需要在 Apple 开发者计划中注册的 Apple ID 才能安装和签署提取代理。Mac 用户可以使用常规 Apple ID 来签名和旁加载提取代理。

 使用引导加载程序漏洞进行提取,满足取证要求

为了保留数字证据,软件从数据收集的第一步就开始一系列的监管,以确保调查期间收集的数字证据仍然可以被法庭采信。基于引导加载程序的新提取方法可在提取会话中提供可重复的结果。在受支持的设备上使用 iOS Forensic Toolkit 时,第一个提取的镜像的校验和与后续提取的校验和匹配,前提是该设备在提取之间关闭电源,并且在此期间从不启动已安装的 iOS 版本。

新的提取方法是迄今为止最干净的。所有工作完全在 RAM 中执行,并且在提取过程中不会启动设备上安装的操作系统。我们独特的直接提取技术具有以下优点:

  • 可重现结果。如果设备保持关闭状态并且在会话之间从不启动 iOS,则后续提取的校验和将与第一个提取的校验和相匹配。
  • 支持iPhone X、iPhone 8/7/Plus、6s/6/Plus、SE(原版)、iPhone 5s
  • 总共支持多种 Apple 型号,包括 25 款 iPhone、40 款 iPad、3 款 iPod、4 款 Apple TV 和 4 款 Apple Watch 型号
  • 广泛的 iOS 兼容性。支持 iOS 3 到 iOS 16(A11 Bionic iPhone 不支持 iOS 16)。
  • 不更改系统和数据分区。
  • 零数据修改策略:100% 的修补发生在 RAM 中。
  • 对安装过程提供完整引导,并且非常可靠。
  • BFU 模式支持锁定设备,而对 USB 限制模式则可以完全绕过。

兼容性:Mac 和 Linux 版本均提供引导加载程序级提取。

 旧版设备的解锁和镜像:iPhone 3G/3GS、4、4s、5 和 5c

对旧版 iPhone 型号,提供密码解锁和镜像支持。

该工具包可用于通过尝试恢复原始 4 位或 6 位 PIN 来解锁受未知屏幕锁定密码保护的加密 iPhone 3G/3GS、4、4s (1)、5 和 5c 设备。这种 DFU 攻击只需 12 分钟即可解锁受 4 位数 PIN 保护的 iPhone 5,而 6 位数 PIN 则需要长达 21 小时。将自动使用智能攻击来尝试尽可能多地削减这次时间。在不到 4 分钟的时间内,该工具将尝试数千个最常用的密码,例如 000000、123456 或 121212,然后是基于出生日期的 6 位 PIN。其中 74,000 个此类攻击,智能攻击大约需要 1.5 小时。如果仍然不成功,则会启动其余密码的完整暴力破解。

对旧版 iOS 设备,支持完整的物理获取,包括 iPhone、iPhone 3G/3GS、4、4s (1)、5 和 5c。对于所有支持的型号,工具包可以提取用户分区的精确位图并解密钥匙串。如果设备运行的是 iOS 4 到 7,即使不破解屏幕锁定密码也可以执行成像,而运行 iOS 8 到 10 的设备则需要先破解密码。对于所有支持的型号,工具包可以提取和解密用户分区和钥匙串。

(1) 通过自定义Raspberry Pi Pico 板,可以为 iPhone 4s、iPod Touch 5、iPad 2 和 3 设备提供密码解锁和基于 checkm8提取,满足取证要求,该Pico板用于针对应用该漏洞。固件镜像随 iOS Forensic Toolkit 提供;不提供 Pico 板。

注意:仅限 Mac 和 Linux 版本;iPhone 4s 支持需要带有自定义固件(已提供)的 Raspberry Pi Pico 板(未提供)。对于 iOS 4 到 7,设备镜像不需要密码恢复。对于 iOS 8 和 9,必须在镜像之前恢复密码(否则,可用的 BFU 提取有限)。为 iPhone 5 提供的解锁速度估算;攻击在旧设备上运行速度较慢。

 扩展逻辑采集

iOS Forensic Toolkit支持逻辑获取,简单安全的获取方式。逻辑获取会对设备中存储的信息生成标准的 iTunes 式备份、提取媒体和共享文件并提取系统崩溃日志。虽然逻辑采集返回的信息少于低级提取,但建议专家在尝试更具侵入性的采集技术之前创建设备的逻辑备份。

我们始终建议将逻辑获取与低级提取结合使用,以安全地提取所有可能类型的证据。

快速提取媒体文件,如相机胶卷、书籍、录音和 iTunes 媒体库。与创建本地备份(这可能是一个可能很长的操作)相反,媒体提取可以在所有支持的设备上快速运行。通过使用配对记录(锁定文件)可以从锁定的设备中提取数据。

除了媒体文件之外,iOS Forensic Toolkit 还可以提取多个应用程序的崩溃/诊断日志和存储文件。提取 Adob​e Reader 和 Microsoft Office 本地存储的文档、MiniKeePass 密码数据库等等。提取需要解锁的设备或未过期的锁定记录。

逻辑采集适用于所有设备,无论硬件代次和 iOS 版本如何。专家需要使用密码或 Touch ID 解锁设备,或者使用从用户计算机中提取的未过期的锁定文件。

如果设备被s配置为生成受密码保护的备份,专家必须使用Elcomsoft Phone Breaker来恢复密码并删除加密。如果未设置备份密码,该工具将自动为系统配置一个临时密码(“123”),以便能够解密钥匙串项目(密码将在获取后重置)。

 支持的设备和采集方法

iOS Forensic Toolkit 为从 iPhone 3G 到 iPhone 14、14 Pro 和 iPhone 14 Pro Max 系列的设备实现底层提取支持。

支持以下情况:

  • 密码解锁:通过 DFU 漏洞暴力破解 4 位和 6 位屏幕锁定密码。所有 iOS 版本、iPhone 3G/3GS、4、4s、5 和 5c 设备。[1] [2]
  • 旧版设备:iPhone 3G/3GS、4、4s、5 和 5c 设备的位精确成像和解密。[1] [2]
  • 代理:为运行 iOS 12 至 16.5 的许多设备提供完整的文件系统提取和钥匙串解密。相应的 iPad 型号也包括在内。需要 Apple 开发者注册 (Windows)/可选 (macOS)。
  • 利用 Bootrom 漏洞 (checkm8):针对所有受支持的 iOS 版本,对 76 个 Apple 设备进行取证健全的文件系统和钥匙串获取。[1]
  • 其他 Apple 设备:运行提取代理不支持的 iOS 版本的设备的高级逻辑获取、共享文件和媒体提取。设备必须解锁并与专家的计算机配对。

对 iPhone、iPad 和 iPod Touch 设备执行物理和逻辑采集。镜像设备文件系统,提取设备机密(密码、加密密钥和受保护数据)并解密文件系统镜像。

  1. 仅适用于 Mac 和 Linux 版本。
  2. 对于 iPhone 4s,需要自定义固件 Raspberry Pi Pico 板。

 Apple Watch、Apple TV 和 HomePod 提取

Elcomsoft iOS Forensic Toolkit 是市场上唯一一款从 Apple TV、Apple Watch 和第一代 HomePod 设备中提取信息的第三方工具。虽然专家可能会尝试为与 Apple Watch 配对的用户 iPhone 创建 iTunes 式备份,但如果 iPhone 被安全锁定,则本地备份可能不可用。即使 iPhone 被锁定或不可用,直接从 Watch 提取信息也可以访问信息。虽然 Apple Watch 不提供独立的 iTunes 式备份,但专家仍然可以访问崩溃日志和媒体文件,包括 EXIF 和位置数据。

  • 连接Watch需要第三方 IBUS 适配器
  • Apple Watch S0 至 S3 的 checkm8 提取
  • Apple Watch S0 至 S6 的逻辑收购

Apple TV 设备不支持 iTunes 式备份,但如果用户在其 iCloud 帐户中启用了 iCloud 照片,则可能包含用户整个 iCloud 照片库的本地副本。由于 Apple TV 不具有密码保护功能,因此即使用户的 iPhone 被锁定并且 iCloud 密码未知,也可以提取数据。Apple TV 4 需要有线连接,Apple TV 4K 需要通过 Xcode 进行无线连接。

Apple TV 4K(第一代)及较旧版本、Apple Watch S3 及较旧版设备以及第一代 HomePod 支持满足取证要求的checkm8 提取。可能需要定制适配器。

 钥匙串提取

Elcomsoft iOS Forensic Toolkit 可以提取钥匙串项目,包括受 ThisDeviceOnly 属性保护的钥匙串项目,从而使调查人员能够访问高度敏感的数据,例如网站和其他资源(以及在许多情况下,Apple ID)的登录/密码信息。

在整个钥匙串获取过程中,设备必须保持解锁状态。iOS Forensic Toolkit 采用了禁用自动屏幕锁定的工具。

 DFU、恢复和诊断模式

通过 DFU、恢复和诊断模式获取有关锁定和禁用设备的信息。即使设备在 10 次解锁尝试失败后被锁定,或者 USB 限制模式被激活,您仍然可以将其切换到恢复或 DFU。借助 Elcomsoft iOS Forensic Toolkit,您可以提取有关设备的重要信息,包括设备型号标识符、ECID/UCID、序列号,以及在某些情况下的 IMEI 号码。此外,恢复模式还会返回有关引导加载程序版本的信息,这有助于确定 iOS 版本或设备上安装的 iOS 版本范围。

 使用 Raspberry Pi Pico 实现自动化

使用带有 ElcomSoft 固件的 Raspberry Pi Pico 板,可以自动执行一些原本耗时且劳动密集型的例程。

自动DFU

Auto-DFU 允许专家自动将 iPhone 8、iPhone 8 Plus 和 iPhone X 设备切换到 DFU,从而大大简化了流程,否则将需要安装精确计时进行一系列按钮操作。当设备的按钮损坏时,自动 DFU 模式是必不可少的,否则需要拆卸才能进入 DFU。此功能需要使用预编程的 Raspberry Pi Pico 设备。

滚动截图

这种自动功能允许以半自动方式制作长的、可滚动的屏幕截图。此功能适用于所有设备和 iOS 版本。

捕获屏幕截图可能是移动设备调查中的关键步骤。通过对连接的 iOS 设备上显示的内容进行一系列屏幕截图,调查人员可以收集可能无法通过其他方式访问的数字证据,例如高级逻辑获取,其中受保护的聊天历史等数据可能无法获得。在某种程度上,这个新功能可以看作是除了云、高级逻辑和底层提取方法之外的一种新的提取工具。

用于保护代理侧载的功能防火墙

侧载和运行低级提取代理可能需要通过 Apple 服务器验证应用程序的数字签名,这需要具有相关风险的在线连接。我们开发了一种基于 Raspberry Pi 4 的开源解决方案,通过将设备的连接限制为仅与证书验证所需的服务器来最大程度地降低风险。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1627151.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

13.电子产品拆解分析-插排带3USB

13.电子产品拆解分析-插排带3USB 一、功能介绍二、电路分析以及器件作用1、三个插座之间通过电线连接,总开关控制火线2、通过FSD3773低待机功耗原边反馈AC/DC驱动芯片控制5V的输出一、功能介绍 ①一键控制总电源开关;②带三路USB输出;③最大支持2500W输出,10A输出电流;④8…

STM32自己从零开始实操01:原理图

在听完老师关于 STM32 物联网项目的所有硬件课程之后,就是感觉自己云里雾里,明明课程都认真听完了,笔记也认真记录,但是就是感觉学到的知识还不是自己。 遂决定站在老师的肩膀上自己开始设计项目,将知识变成自己的&am…

【机器学习】集成学习:强化机器学习模型与创新能的利器

集成学习:强化机器学习模型预测性能的利器 一、集成学习的核心思想二、常用集成学习方法Bagging方法Boosting方法Stacking方法 三、集成学习代表模型与实现四、总结与展望 在大数据时代的浪潮下,机器学习模型的应用越来越广泛,而集成学习作为…

微信小程序简单实现购物车功能

微信小程序简单实现购物车结算和购物车列表展示功能 实现在微信小程序中对每一个购物车界面的商品订单,进行勾选结算和取消结算的功能,相关界面截图如下: 具体实现示例代码为: 1、js代码: Page({/*** 页面的初始数…

Windows下搭建Flutter开发环境

IDE:VS code Flutter官网:Flutter: 为所有屏幕创造精彩 - Flutter 中文开发者网站 - Flutter 下载&安装 下载Flutter SDK,如图,建议自行下载安装: SDK还是挺大的,近1G,使用迅雷下载会快不少。 下载完成,解压缩到指定目录即可! 设置Local SDK,按下面步骤操作即…

【Docker】Docker 实践(一):在 Docker 中部署第一个应用

Docker 实践(一):在 Docker 中部署第一个应用 1.使用 YUM 方式安装 Docker2.验证 Docker 环境3.在 Docker 中部署第一个应用3.1 小插曲:docker pull 报 missing signature key 错误3.2 重新安装 Nginx 1.使用 YUM 方式安装 Docker…

git 基础知识(全能版)

文章目录 一 、git 有三个分区二、git 基本操作1、克隆—git clone2、拉取—git fetch / git pull3、查看—git status / git diff3.1 多人开发代码暂存技巧 本地代码4、提交—git add / git commit / git push5、日志—git log / git reflog6、删除—git rm ‘name’7、撤销恢…

云计算和边缘计算究竟有什么不同

在数据时代,无论是人的活动还是机器的运作都会产生各种各样海量的数据。在对数据梳理和筛选过程中,计算机的运算处理必不可少。为了减少本地计算机算力成本等限制,越来越多的企业选择了云计算和边缘计算。今天,德迅云安全就带您来…

中电金信:深度解析|数字化营销运营体系搭建

如何更好更快地梳理好体系搭建思路,稳步实现落地?下文将为大家明确搭建的推进步骤、执行要点,帮助商业银行理顺数字化营销运营体系的“点”“线”“面”~ 与所有转型的曲折、阵痛等特征一样,商业银行构建数字化营销运营体系过程中…

线性代数 --- 计算斐波那契数列第n项的快速算法(矩阵的n次幂)

计算斐波那契数列第n项的快速算法(矩阵的n次幂) The n-th term of Fibonacci Numbers: 斐波那契数列的是一个古老而又经典的数学数列,距今已经有800多年了。关于斐波那契数列的计算方法不难,只是当我们希望快速求出其数列中的第100&#xff0…

普通屏幕已过时?裸眼3D屏幕显示效果更胜一筹!

随着多媒体技术的迅猛进步,我们日常生活中的内容展现方式,已经经历了前所未有的变革。在这其中,裸眼3D屏幕的应用,无疑是最为引人注目的亮点,它相较于传统屏幕,在显示效果上展现出了鲜明的优势,…

走向大规模应用之前,DePIN 如何突破技术、数据与市场之网

近期,随着分布式物理基础设施网络(DePIN)的快速演变,一个旨在利用区块链技术彻底改造传统基础设施模型的新兴生态系统正在逐渐浮现。2024 年 4 月,以 peaq 为代表的 DePIN 项目成功筹集了 1500 万美元用于生态系统的扩…

Unreal Engine动态添加Button实例

在控件蓝图中添加容器&#xff0c;注意命名不要有中文 C代码中找到容器实例 1 2 3 4 5 6 7 8 UVerticalBox* verticalBox Cast<UVerticalBox>(CurrentWidget->GetWidgetFromName(TEXT("VerticalBox_0"))); if (verticalBox ! nullptr) { UScrollBox* …

【声网】实现web端与uniapp微信小程序端音视频互动

实现web端与uniapp微信小程序端音视频互动 利用声网实现音视频互动 开通声网服务 注册声网账号 进入Console 成功登录控制台后&#xff0c;按照以下步骤创建一个声网项目&#xff1a; 展开控制台左上角下拉框&#xff0c;点击创建项目按钮。 在弹出的对话框内&#xff0c;依…

计算机视觉——OpenCV 使用分水岭算法进行图像分割

分水岭算法 分水岭算法&#xff1a;模拟地理形态的图像分割 分水岭算法通过模拟自然地形来实现图像中物体的分类。在这一过程中&#xff0c;每个像素的灰度值被视作其高度&#xff0c;灰度值较高的像素形成山脊&#xff0c;即分水岭&#xff0c;而二值化阈值则相当于水平面&am…

Pytorch 的神经网络 学习笔记

参照官方网址 Module — PyTorch 2.2 documentation 一. 介绍 1. torch.nn模块&#xff1a; torch.nn是PyTorch中专门用于构建神经网络的模块。它提供了构建深度学习模型所需的所有构建块&#xff0c;包括各种层类型&#xff08;如全连接层、卷积层、循环层等&#xff09;、…

Web3解密:理解去中心化应用的核心原理

引言 在当前数字化时代&#xff0c;去中心化技术和应用正在逐渐引起人们的关注和兴趣。Web3技术作为去中心化应用&#xff08;DApps&#xff09;的基础&#xff0c;为我们提供了一个全新的互联网体验。但是&#xff0c;对于许多人来说&#xff0c;这个复杂的概念仍然充满了神秘…

【源码】WBF多语言交易所/申购+自发币平台币+币币+杠杆+合约/附带安装教程/带VUE工程源码

【源码介绍】 WBF多语言交易所/申购自发币平台币币币杠杆合约/附带安装教程/带VUE工程源码 【源码说明】 带VUE工程源码最新申购&#xff0c;自发币平台币&#xff0c;币币&#xff0c;法币&#xff0c;杠杆&#xff0c;合约多语言交易所&#xff0c;附带pc和手机VUE&#x…

Grafana系列 | Grafana监控TDengine库数据 |Grafana自定义Dashboard

开始前可以去grafana官网看看dashboard文档 https://grafana.com/docs/grafana/latest/dashboards 本文主要是监控TDengine库数据 目录 一、TDengine介绍二、Grafana监控TDengine数据三、Grafana自定义Dashboard 监控TDengine库数据1、grafana 变量2、添加变量3、配置panel 一…

CasinoRoyale靶机练习实践报告

CasinoRoyale靶机练习实践报告 下载地址: https://drive.google.com/open?id1FYP246L63zShV00wOckAQ5F5XJ4HkZ0Lhttps://download.vulnhub.com/casinoroyale/CasinoRoyale.ovahttps://download.vulnhub.com/casinoroyale/CasinoRoyale.ova.torrent ( Magnet) 1 安装靶机 …