Elcomsoft iOS Forensics Toolkit: iPhone/iPad/iPod 设备取证工具包

天津鸿萌科贸发展有限公司是 ElcomSoft 系列取证软件的授权代理商。

Elcomsoft iOS Forensics Toolkit 软件工具包适用于取证工作,对 iPhone、iPad 和 iPod Touch 设备执行完整文件系统和逻辑数据采集。对设备文件系统制作镜像,提取设备机密(密码、加密密钥和受保护数据)并解密文件系统镜像。

  • 完整的文件系统提取和钥匙串解密
  • 逻辑获取提取备份、崩溃日志、媒体和共享文件
  • 旧版设备的密码解锁和物理获取
  • 提取并解密受保护的钥匙串项目
  • 通过修改后的引导加载程序,可提取特定 iPhone 和 iPad 型号数据,满足取证要求
  • 自动禁用屏幕锁定以实现平稳、不间断的采集

支持:各版本 iPhone、iPad、iPad Pro 和 iPod Touch、第一代 HomePod;Apple Watch、Apple TV 4 和 4K;从 iOS 3 到 iOS 17 的所有 iOS 版本

最新功能突破

 适用于 iOS 16.0 - 16.6.1 的完整低级提取和钥匙串解密

低级文件系统提取和钥匙串解密现在可用于比以往更广泛的 iOS 版本。完整的低级提取现已适用于 iOS 16 至 16.6.1。新方法支持采用 A11 和更新芯片构建的设备,有效覆盖 iPhone 8/8 Plus/iPhone X,以及 iPhone Xs/Xr 至 iPhone 14/14 Pro 系列,并支持许多 iPad,包括基于 Apple 的 iPad M1和M2芯片。

 增强对旧版设备的支持:在 Windows 和 Linux 中挂载 HFS 镜像

最新版本使 Windows 和 Linux 用户能够挂载从旧版 Apple 设备中提取的 HFS 磁盘镜像。这项新功能使专家能够在 Linux 和 Windows 计算机上高效地处理和分析从旧版 Apple 设备中提取的数字证据。

全功能介绍

 对运行 Apple iOS 的 iPhone/iPad/iPod 设备进行取证访问

对 iPhone/iPad/iPod 设备中存储的用户数据进行完整的取证采集。Elcomsoft iOS Forensic Toolkit 允许对设备的文件系统制作镜像、提取设备机密(密码、口令和加密密钥)并通过锁定记录访问锁定的设备。

支持以下提取方法:

  • 高级逻辑获取(备份、媒体文件、崩溃日志、共享文件)(所有设备、所有版本的 iOS)
  • 基于代理的直接提取(所有 64 位设备,选择 iOS 版本)
  • 基于引导加载程序的 checkm8 提取(选择设备),满足取证要求
  • 密码解锁和真实物理获取(选择32位设备)

 多平台可用性

iOS Forensic Toolkit 适用于 macOS、Windows 和 Linux。

Linux 版本正式支持 Debian、Ubuntu、Kali Linux 和 Mint

 完整文件系统提取和钥匙串解密

基于直接访问文件系统的低级提取方法可用于各种 iOS 设备和操作系统版本。该采集方法使用内部开发的提取工具,将提取剂安装到正在采集的设备上。该代理与专家的计算机进行通信,提供强大的性能和极高的提取速度,最高可达每分钟 2.5 GB 的数据。

使用提取代理对于设备本身来说本质上是安全的,因为它既不会修改系统分区,也不会重新安装文件系统。提取代理采用的低级提取技术产生的数据与通过 checkm8 等物理提取方法获得的数据一样多。文件系统镜像和所有钥匙串记录都可以根据操作系统版本进行提取和解密。

可以提取整个文件系统,也可以使用快速提取选项,仅从用户分区获取文件。通过跳过存储在设备系统分区中的文件,快速提取选项有助于减少完成工作所需的时间,并减少静态内容的存储空间。

Windows 和 Linux 用户需要在 Apple 开发者计划中注册的 Apple ID 才能安装和签署提取代理。Mac 用户可以使用常规 Apple ID 来签名和旁加载提取代理。

 使用引导加载程序漏洞进行提取,满足取证要求

为了保留数字证据,软件从数据收集的第一步就开始一系列的监管,以确保调查期间收集的数字证据仍然可以被法庭采信。基于引导加载程序的新提取方法可在提取会话中提供可重复的结果。在受支持的设备上使用 iOS Forensic Toolkit 时,第一个提取的镜像的校验和与后续提取的校验和匹配,前提是该设备在提取之间关闭电源,并且在此期间从不启动已安装的 iOS 版本。

新的提取方法是迄今为止最干净的。所有工作完全在 RAM 中执行,并且在提取过程中不会启动设备上安装的操作系统。我们独特的直接提取技术具有以下优点:

  • 可重现结果。如果设备保持关闭状态并且在会话之间从不启动 iOS,则后续提取的校验和将与第一个提取的校验和相匹配。
  • 支持iPhone X、iPhone 8/7/Plus、6s/6/Plus、SE(原版)、iPhone 5s
  • 总共支持多种 Apple 型号,包括 25 款 iPhone、40 款 iPad、3 款 iPod、4 款 Apple TV 和 4 款 Apple Watch 型号
  • 广泛的 iOS 兼容性。支持 iOS 3 到 iOS 16(A11 Bionic iPhone 不支持 iOS 16)。
  • 不更改系统和数据分区。
  • 零数据修改策略:100% 的修补发生在 RAM 中。
  • 对安装过程提供完整引导,并且非常可靠。
  • BFU 模式支持锁定设备,而对 USB 限制模式则可以完全绕过。

兼容性:Mac 和 Linux 版本均提供引导加载程序级提取。

 旧版设备的解锁和镜像:iPhone 3G/3GS、4、4s、5 和 5c

对旧版 iPhone 型号,提供密码解锁和镜像支持。

该工具包可用于通过尝试恢复原始 4 位或 6 位 PIN 来解锁受未知屏幕锁定密码保护的加密 iPhone 3G/3GS、4、4s (1)、5 和 5c 设备。这种 DFU 攻击只需 12 分钟即可解锁受 4 位数 PIN 保护的 iPhone 5,而 6 位数 PIN 则需要长达 21 小时。将自动使用智能攻击来尝试尽可能多地削减这次时间。在不到 4 分钟的时间内,该工具将尝试数千个最常用的密码,例如 000000、123456 或 121212,然后是基于出生日期的 6 位 PIN。其中 74,000 个此类攻击,智能攻击大约需要 1.5 小时。如果仍然不成功,则会启动其余密码的完整暴力破解。

对旧版 iOS 设备,支持完整的物理获取,包括 iPhone、iPhone 3G/3GS、4、4s (1)、5 和 5c。对于所有支持的型号,工具包可以提取用户分区的精确位图并解密钥匙串。如果设备运行的是 iOS 4 到 7,即使不破解屏幕锁定密码也可以执行成像,而运行 iOS 8 到 10 的设备则需要先破解密码。对于所有支持的型号,工具包可以提取和解密用户分区和钥匙串。

(1) 通过自定义Raspberry Pi Pico 板,可以为 iPhone 4s、iPod Touch 5、iPad 2 和 3 设备提供密码解锁和基于 checkm8提取,满足取证要求,该Pico板用于针对应用该漏洞。固件镜像随 iOS Forensic Toolkit 提供;不提供 Pico 板。

注意:仅限 Mac 和 Linux 版本;iPhone 4s 支持需要带有自定义固件(已提供)的 Raspberry Pi Pico 板(未提供)。对于 iOS 4 到 7,设备镜像不需要密码恢复。对于 iOS 8 和 9,必须在镜像之前恢复密码(否则,可用的 BFU 提取有限)。为 iPhone 5 提供的解锁速度估算;攻击在旧设备上运行速度较慢。

 扩展逻辑采集

iOS Forensic Toolkit支持逻辑获取,简单安全的获取方式。逻辑获取会对设备中存储的信息生成标准的 iTunes 式备份、提取媒体和共享文件并提取系统崩溃日志。虽然逻辑采集返回的信息少于低级提取,但建议专家在尝试更具侵入性的采集技术之前创建设备的逻辑备份。

我们始终建议将逻辑获取与低级提取结合使用,以安全地提取所有可能类型的证据。

快速提取媒体文件,如相机胶卷、书籍、录音和 iTunes 媒体库。与创建本地备份(这可能是一个可能很长的操作)相反,媒体提取可以在所有支持的设备上快速运行。通过使用配对记录(锁定文件)可以从锁定的设备中提取数据。

除了媒体文件之外,iOS Forensic Toolkit 还可以提取多个应用程序的崩溃/诊断日志和存储文件。提取 Adob​e Reader 和 Microsoft Office 本地存储的文档、MiniKeePass 密码数据库等等。提取需要解锁的设备或未过期的锁定记录。

逻辑采集适用于所有设备,无论硬件代次和 iOS 版本如何。专家需要使用密码或 Touch ID 解锁设备,或者使用从用户计算机中提取的未过期的锁定文件。

如果设备被s配置为生成受密码保护的备份,专家必须使用Elcomsoft Phone Breaker来恢复密码并删除加密。如果未设置备份密码,该工具将自动为系统配置一个临时密码(“123”),以便能够解密钥匙串项目(密码将在获取后重置)。

 支持的设备和采集方法

iOS Forensic Toolkit 为从 iPhone 3G 到 iPhone 14、14 Pro 和 iPhone 14 Pro Max 系列的设备实现底层提取支持。

支持以下情况:

  • 密码解锁:通过 DFU 漏洞暴力破解 4 位和 6 位屏幕锁定密码。所有 iOS 版本、iPhone 3G/3GS、4、4s、5 和 5c 设备。[1] [2]
  • 旧版设备:iPhone 3G/3GS、4、4s、5 和 5c 设备的位精确成像和解密。[1] [2]
  • 代理:为运行 iOS 12 至 16.5 的许多设备提供完整的文件系统提取和钥匙串解密。相应的 iPad 型号也包括在内。需要 Apple 开发者注册 (Windows)/可选 (macOS)。
  • 利用 Bootrom 漏洞 (checkm8):针对所有受支持的 iOS 版本,对 76 个 Apple 设备进行取证健全的文件系统和钥匙串获取。[1]
  • 其他 Apple 设备:运行提取代理不支持的 iOS 版本的设备的高级逻辑获取、共享文件和媒体提取。设备必须解锁并与专家的计算机配对。

对 iPhone、iPad 和 iPod Touch 设备执行物理和逻辑采集。镜像设备文件系统,提取设备机密(密码、加密密钥和受保护数据)并解密文件系统镜像。

  1. 仅适用于 Mac 和 Linux 版本。
  2. 对于 iPhone 4s,需要自定义固件 Raspberry Pi Pico 板。

 Apple Watch、Apple TV 和 HomePod 提取

Elcomsoft iOS Forensic Toolkit 是市场上唯一一款从 Apple TV、Apple Watch 和第一代 HomePod 设备中提取信息的第三方工具。虽然专家可能会尝试为与 Apple Watch 配对的用户 iPhone 创建 iTunes 式备份,但如果 iPhone 被安全锁定,则本地备份可能不可用。即使 iPhone 被锁定或不可用,直接从 Watch 提取信息也可以访问信息。虽然 Apple Watch 不提供独立的 iTunes 式备份,但专家仍然可以访问崩溃日志和媒体文件,包括 EXIF 和位置数据。

  • 连接Watch需要第三方 IBUS 适配器
  • Apple Watch S0 至 S3 的 checkm8 提取
  • Apple Watch S0 至 S6 的逻辑收购

Apple TV 设备不支持 iTunes 式备份,但如果用户在其 iCloud 帐户中启用了 iCloud 照片,则可能包含用户整个 iCloud 照片库的本地副本。由于 Apple TV 不具有密码保护功能,因此即使用户的 iPhone 被锁定并且 iCloud 密码未知,也可以提取数据。Apple TV 4 需要有线连接,Apple TV 4K 需要通过 Xcode 进行无线连接。

Apple TV 4K(第一代)及较旧版本、Apple Watch S3 及较旧版设备以及第一代 HomePod 支持满足取证要求的checkm8 提取。可能需要定制适配器。

 钥匙串提取

Elcomsoft iOS Forensic Toolkit 可以提取钥匙串项目,包括受 ThisDeviceOnly 属性保护的钥匙串项目,从而使调查人员能够访问高度敏感的数据,例如网站和其他资源(以及在许多情况下,Apple ID)的登录/密码信息。

在整个钥匙串获取过程中,设备必须保持解锁状态。iOS Forensic Toolkit 采用了禁用自动屏幕锁定的工具。

 DFU、恢复和诊断模式

通过 DFU、恢复和诊断模式获取有关锁定和禁用设备的信息。即使设备在 10 次解锁尝试失败后被锁定,或者 USB 限制模式被激活,您仍然可以将其切换到恢复或 DFU。借助 Elcomsoft iOS Forensic Toolkit,您可以提取有关设备的重要信息,包括设备型号标识符、ECID/UCID、序列号,以及在某些情况下的 IMEI 号码。此外,恢复模式还会返回有关引导加载程序版本的信息,这有助于确定 iOS 版本或设备上安装的 iOS 版本范围。

 使用 Raspberry Pi Pico 实现自动化

使用带有 ElcomSoft 固件的 Raspberry Pi Pico 板,可以自动执行一些原本耗时且劳动密集型的例程。

自动DFU

Auto-DFU 允许专家自动将 iPhone 8、iPhone 8 Plus 和 iPhone X 设备切换到 DFU,从而大大简化了流程,否则将需要安装精确计时进行一系列按钮操作。当设备的按钮损坏时,自动 DFU 模式是必不可少的,否则需要拆卸才能进入 DFU。此功能需要使用预编程的 Raspberry Pi Pico 设备。

滚动截图

这种自动功能允许以半自动方式制作长的、可滚动的屏幕截图。此功能适用于所有设备和 iOS 版本。

捕获屏幕截图可能是移动设备调查中的关键步骤。通过对连接的 iOS 设备上显示的内容进行一系列屏幕截图,调查人员可以收集可能无法通过其他方式访问的数字证据,例如高级逻辑获取,其中受保护的聊天历史等数据可能无法获得。在某种程度上,这个新功能可以看作是除了云、高级逻辑和底层提取方法之外的一种新的提取工具。

用于保护代理侧载的功能防火墙

侧载和运行低级提取代理可能需要通过 Apple 服务器验证应用程序的数字签名,这需要具有相关风险的在线连接。我们开发了一种基于 Raspberry Pi 4 的开源解决方案,通过将设备的连接限制为仅与证书验证所需的服务器来最大程度地降低风险。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/diannao/3862.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

阿斯达年代记三强争霸服务器没反应 安装中发生错误的解决方法

阿斯达年代记三强争霸服务器没反应 安装中发生错误的解决方法 最近刚上线的由影视剧改编的游戏《阿斯达年代记三强争霸》可谓是在游戏圈内引起了轩然大波,这是一款由网石集团与龙工作室联合开发的MMORPG游戏,游戏背景设定在一个名为阿斯大陆的区域&…

vue 实现项目进度甘特图

项目需求: 实现以1天、7天、30天为周期(周期根据筛选条件选择),展示每个项目不同里程碑任务进度。 项目在Vue-Gantt-chart: 使用Vue做数据控制的Gantt图表基础上进行了改造。 有需要的小伙伴也可以直接引入插件,自己…

用Scrapy编写第一个入门项目(基础四件套:spider,pipeline,setting,items)

简介:scrapy是一个用于爬取网页并提取数据的应用框架,也可用于提取API数据 写在前面:只想看scrapy的童鞋子请跳过5-7直接step8) step5,6是xpath和css入门,用于提取数据; step7是文件储存方式&…

国产麒麟系统下打包electron+vue项目(AppImage、deb)

需要用到的一些依赖包、安装包以及更详细的打包方法word以及麒麟官网给出的文档都已放网盘,链接在文章最后!!!!!!!!!!!!&a…

备考数通HCIE证书4点经验分享!

大家好,我是来自安阳工学院20级网络工程的刁同学,在2023年12月20日成功通过了华为Datacom HCIE认证,并且取得了笔试900多分,实验B的成绩。在此,我想把我的一些考证心得分享给正在备考的小伙伴们。 关于为什么考证 我…

使用自定义注解处理器,自动收集类信息

背景 在开发过程有些时候我们会需要收集一些类信息。比如要知道某个子类下的所有实现类。可以通过反射的方式实现。但是这种方法有性能问题,因为在运行时,所有类都会包含在dex文件中。这个文件中的类可能有几十万个。而且在实际开发中会发现&#xff0c…

ArcGIS专题图制作—3D峡谷地形

6分钟教你在ArcGIS Pro中优雅完成炫酷的美国大峡谷3D地图 6分钟教你在ArcGIS Pro中优雅完成炫酷的美国大峡谷3D地图。 这一期的制图教程将带我们走入美国大峡谷,让我们一起绘制这张美妙的地图吧!视频也上传到了B站,小伙伴可以去! …

数据结构与算法解题-20240426

这里写目录标题 面试题 08.04. 幂集367. 有效的完全平方数192. 统计词频747. 至少是其他数字两倍的最大数718. 最长重复子数组 面试题 08.04. 幂集 中等 幂集。编写一种方法,返回某集合的所有子集。集合中不包含重复的元素。 说明:解集不能包含重复的子…

【网络原理】TCP协议的连接管理机制(三次握手和四次挥手)

系列文章目录 【网络通信基础】网络中的常见基本概念 【网络编程】网络编程中的基本概念及Java实现UDP、TCP客户端服务器程序(万字博文) 【网络原理】UDP协议的报文结构 及 校验和字段的错误检测机制(CRC算法、MD5算法) 【网络…

Swift - 流程控制

文章目录 Swift - 流程控制if-else2. while3. for3.1 闭区间运算符3.2 半开区间运算符3.3 for - 区间运算符用在数组上3.3.1 单侧区间 3.4 区间类型3.5 带间隔的区间值 4. switch4.1 fallthrough4.2 switch注意点 5. 复合条件6. 区间匹配、元组匹配7. 值绑定8. where9. 标签语句…

DRF JWT认证进阶

JWT认证进阶 【0】准备工作 (1)模型准备 模型准备(继承django的auth_user表) from django.db import models from django.contrib.auth.models import AbstractUserclass UserInfo(AbstractUser):mobile models.CharField(ma…

C语言——内存函数的实现与模拟

1. memcpy 函数 与strcpy 函数类似 1.头文件 <string.h> 2.基本格式 • 函数memcpy从source的位置开始向后复制num个 字节 的数据到destination指向的内存位置。 • 这个函数在遇到 \0 的时候并不会停下来。 • 如果source和destination有任何的重叠&#xff0…

2024年钉钉直播回放怎么下载

又到了2024年,最近钉钉迎来了一波更新,经过我的研究,总算研究出来了一个方法,并且做成了工具 首先&#xff0c;让我们了解一下钉钉直播回放的下载方法。 钉钉直播回放工具链接&#xff1a;https://pan.baidu.com/s/1oPWJOp8L2SBDlklt_t5WQQ?pwd1234 提取码&#xff1a;1234 -…

【快速上手ESP32(基于ESP-IDFVSCode)】10-事件循环WiFi

事件循环 本来这篇文章是只写WiFi的&#xff0c;但是写的时候才发现离不开事件循环&#xff0c;因此再多添一点内容在WiFi前面。 事件循环简单来说就是一个&#xff08;循&#xff09;环&#xff0c;我们可以在这个环上绑上一些事件&#xff0c;我们也可以监听这个环&#xf…

JavaScript进阶(十五):JS 垃圾回收机制_vue gc

内存&#xff1a;由可读写单元组成&#xff0c;表示一片可操作空间&#xff1b;管理&#xff1a;人为的去操作一片空间的申请、使用和释放&#xff1b;内存管理&#xff1a;开发者主动申请空间、使用空间、释放空间&#xff1b;管理流程&#xff1a;申请-使用-释放&#xff1b;…

oracle sql monitor简单使用说明

一 sql monitor介绍 二 用命令行方式生成sql monitor报告 set long 1000000 set longchunksize 100000 set linesize 1000 set pagesize 0 set trim on set trimspool on set echo off set feedback off spool report_sql_monitor.html select dbms_sqltune.report_s…

线性代数-行列式-p1 矩阵的秩

目录 1.定义 2. 计算矩阵的秩 3. 矩阵的秩性质 1.定义 2. 计算矩阵的秩 3. 矩阵的秩性质

美国言语听力学会(ASHA)关于非处方 (OTC) 助听器的媒体声明(翻译稿)

美国国会于 2021 年 4 月 13 日批准美国听力学会积极提供建议&#xff0c;并一直积极参与制定FDA关于非处方助听器销售的拟议法规。根据2017年通过的立法授权。学院积极参与帮助塑造授权立法&#xff0c;并就即将出台的条例分享了建议。 根据美国卫生与公众服务部NIH / NIDCD的…

用Python绘制了几张有趣的可视化图表

流程图存在于我们生活的方方面面&#xff0c;对于我们追踪项目的进展&#xff0c;做出各种事情的决策都有着巨大的帮助&#xff0c;而对于的Python而言呢&#xff0c;绘制流程图也是十分轻松的&#xff0c;今天小编就来为大家介绍两个用于绘制流程图的模块&#xff0c;我们先来…

12 JavaScript学习: 字符串

JavaScript 字符串 JavaScript 字符串是一种用于存储和操作文本数据的数据类型。字符串可以包含字母、数字、符号和空格等字符。在 JavaScript 中&#xff0c;字符串可以使用单引号&#xff08;&#xff09;或双引号&#xff08;"&#xff09;来定义。 例如&#xff1a;…