執(zhí)行iPhone��、iPad和iPod Touch設(shè)備的完整文件系統(tǒng)和邏輯采集����。映像設(shè)備文件系統(tǒng),提取設(shè)備機(jī)密(密碼�、加密密鑰和受保護(hù)數(shù)據(jù))并解密文件系統(tǒng)映像。
- 完整文件系統(tǒng)提取和密鑰鏈解密�����,無需越獄
- 邏輯采集提取備份��、崩潰日志����、媒體和共享文件
- 傳統(tǒng)設(shè)備的密碼解鎖和物理獲取
- 提取和解密受保護(hù)的鑰匙鏈項(xiàng)目
- 通過修改的引導(dǎo)加載程序,為選定的iPhone和iPad機(jī)型進(jìn)行可重復(fù)的取證聲音提取
- 自動(dòng)禁用屏幕鎖定��,以實(shí)現(xiàn)平穩(wěn)�、不間斷的采集
支持:所有代iPhone、iPad����、iPad Pro和iPod Touch,有越獄或無越獄功能�����;Apple Watch和Apple TV 4和4K����;從iOS 7到iOS 15.x的所有iOS版本
新功能
選中選定iPhone型號的M8提取
Mac版iOS Forensic Toolkit 8.0 beta版引入了一種新的提取方法�����,用于基于修改的引導(dǎo)加載程序選擇iOS設(shè)備�����。新的提取方法是迄今為止最干凈的�,能夠?qū)崿F(xiàn)可重復(fù)的��、可驗(yàn)證的提取和具有良好法律效力的工作流�。
適用于Mac的iOS Forensic Toolkit 8.0的第四個(gè)測試版為具有引導(dǎo)加載程序漏洞的最新一代iPhone設(shè)備添加了checkm8提取支持�,其中包括iPhone 8、8 Plus和iPhone X設(shè)備��,這些設(shè)備運(yùn)行iOS 15.5之前的所有支持版本�。這完成了可以使用iOS Forensic Toolkit 8.0測試版提取的設(shè)備范圍,它現(xiàn)在包括從iPhone 5s到iPhone X的所有64位iPhone型號�,沒有任何間隙或排除。
檢查其他iPad����、iPod Touch和Apple TV型號的M8支持
適用于Mac的Elcomsoft iOS Forensic Toolkit 8.0的第九個(gè)測試版增加了對iPad 5�����、6和7�、iPad Mini 2��、3和4��、iPad Air 1和2以及iPad Pro 1和2(分別為9.7英寸和12.9英寸型號)的支持��。此外����,還支持iPod Touch 6和7以及Apple TV 3和4K。目前����,我們的checkm8提取解決方案支持所有具有引導(dǎo)加載程序漏洞的iPad和所有iPod Touch型號,沒有例外�。
Extraction agent獲得對iOS 15.2到15.3.1的低級提取支持
Elcomsoft iOS Forensic Toolkit 7.60為多代Apple設(shè)備提供了低級提取支持,為基于Apple A11-A15和M1芯片的iOS 15.2到15.3.1設(shè)備添加了完整的文件系統(tǒng)提取�。
此外,我們更新了iOS Forensic Toolkit8.0 beta 13��,添加了相同的基于代理的提取支持��,并將取證聲音checkm8提取擴(kuò)展到新發(fā)布的iOS 15.6.1。
更新后的工具包現(xiàn)在支持從iOS 9.0到iOS 15.3.1的所有iOS版本的基于代理的完整文件系統(tǒng)提取���。除了文件系統(tǒng)提取��,iOS 9.0到iOS15.1.1的多個(gè)平臺還支持密鑰鏈解密�。
iOS Forensic Toolkit 8.0 beta 13獲得了Elcomsoft iOS Forensic Toolkit 7.40的所有新功能�,并為最新版本的iOS 15.6.1添加了checkm8獲取支持。
對運(yùn)行Apple iOS的iPhone/iPad/iPod設(shè)備的取證訪問
對iPhone/iPad/iPod設(shè)備中存儲(chǔ)的用戶數(shù)據(jù)執(zhí)行完整的取證采集���。Elcomsoft iOS Forensic Toolkit允許成像設(shè)備的文件系統(tǒng)�����,提取設(shè)備機(jī)密(密碼�、密碼和加密密鑰)��,并通過鎖定記錄訪問鎖定設(shè)備����。
支持以下提取方法:
- 高級邏輯采集(備份�、媒體文件、崩潰日志�、共享文件)(所有設(shè)備���、所有版本的iOS)
- 基于代理的直接提取(所有64位設(shè)備�����,選擇iOS版本)
- 基于checkm8提取的取證聲音引導(dǎo)程序(選擇設(shè)備)
- 基于越獄的提?��。ㄋ袔в泄苍姜z的設(shè)備和版本的iOS)
- 密碼解鎖和真正的物理采集(選擇32位設(shè)備)
完整文件系統(tǒng)提取和密鑰鏈解密
基于直接訪問文件系統(tǒng)的無越獄提取方法可用于有限范圍的iOS設(shè)備�。使用內(nèi)部開發(fā)的提取工具���,該獲取方法將提取劑安裝到被獲取的設(shè)備上�。該代理與專家的計(jì)算機(jī)通信�����,提供強(qiáng)大的性能和極高的提取速度���,每分鐘超過2.5 GB的數(shù)據(jù)�。
更好的是����,基于代理的提取是完全安全的����,因?yàn)樗炔恍薷南到y(tǒng)分區(qū)����,也不重新裝載文件系統(tǒng),同時(shí)對提取的信息執(zhí)行自動(dòng)動(dòng)態(tài)哈希���?���;诖淼奶崛〔粫?huì)對用戶數(shù)據(jù)進(jìn)行任何更改��,從而提供取證聲音提取����。
文件系統(tǒng)映像和所有密鑰鏈記錄都被提取和解密?;诖淼奶崛》椒ㄌ峁┝丝煽康男阅埽?dǎo)致取證聲音提取���。提取后,只需按一下按鈕即可從設(shè)備中移除代理�����。
您可以提取整個(gè)文件系統(tǒng),也可以使用快速提取選項(xiàng)�,只從用戶分區(qū)獲取文件。通過跳過存儲(chǔ)在設(shè)備系統(tǒng)分區(qū)中的文件���,快速提取選項(xiàng)有助于減少執(zhí)行作業(yè)所需的時(shí)間���,并將存儲(chǔ)空間減少數(shù)GB的靜態(tài)內(nèi)容。
安裝和簽署提取代理需要在Apple Developer Program中注冊Apple ID����。Mac版取消了這一要求,允許使用常規(guī)的Apple ID對提取代理進(jìn)行簽名并將其側(cè)載到iOS設(shè)備上���。
基于越獄的提取
除了基于代理的提取外���,iOS Forensic Toolkit還完全支持提取所有可使用越獄功能的越獄設(shè)備。完整文件系統(tǒng)提取和密鑰鏈解密可用于越獄設(shè)備����。支持所有公共越獄。
精選iPhone和iPad型號的法醫(yī)聲音提取
為了保存數(shù)字證據(jù),監(jiān)管鏈從數(shù)據(jù)收集的第一點(diǎn)開始���,以確保在調(diào)查期間收集的數(shù)字證據(jù)保持法院受理狀態(tài)�。新的�、基于引導(dǎo)加載程序的提取方法跨提取會(huì)話提供可重復(fù)的結(jié)果。在受支持的設(shè)備上使用iOS Forensic Toolkit時(shí)���,如果設(shè)備在兩次提取之間斷電�����,并且在此期間從不引導(dǎo)已安裝的iOS版本��,則第一個(gè)提取圖像的校驗(yàn)和將與后續(xù)提取的校驗(yàn)和匹配���。
新的提取方法是迄今為止最干凈的。我們實(shí)現(xiàn)的基于引導(dǎo)加載程序的漏洞利用直接源自源代碼����。所有工作都完全在RAM中執(zhí)行,設(shè)備上安裝的操作系統(tǒng)保持不變����,在引導(dǎo)過程中不使用��。我們獨(dú)特的直接提取工藝具有以下優(yōu)點(diǎn):
- 可重復(fù)的結(jié)果����。如果設(shè)備一直處于關(guān)閉狀態(tài)����,并且從不在會(huì)話之間引導(dǎo)iOS���,則后續(xù)提取的校驗(yàn)和將與第一個(gè)匹配����。
- 支持iPhone 5s���、6/6s/Plus�����、SE(原裝)�����、iPhone 7/8/Plus����、iPhone X。
- 支持iPad 5���、6和7���、iPad Mini 2、3和4��、iPad Air 1和2����、iPad Pro 1和2,iPod Touch 6和7����,以及Apple TV 4和4K
- iOS兼容性廣。支持iOS 8.0至iOS 15.5��。
- 非接觸式系統(tǒng)和數(shù)據(jù)分區(qū)�����。
- 零修改策略:100%的補(bǔ)丁發(fā)生在RAM中�。
- 與越獄相比��,安裝過程得到充分指導(dǎo)�,更加可靠�。
- 鎖定設(shè)備支持BFU模式,而USB限制模式可以完全繞過�����。
注:引導(dǎo)加載程序級別的提取只在Mac版本中提供�,需要一臺macOS計(jì)算機(jī)����。
解鎖和成像傳統(tǒng)設(shè)備:iPhone 4、4s��、5和5c
舊款iPhone機(jī)型提供密碼解鎖和圖像處理支持�。
通過嘗試恢復(fù)原始的4位或6位PIN,該工具包可用于解鎖受未知屏幕鎖定密碼保護(hù)的加密iPhone 4�����、4s(1)�、5和5c設(shè)備。在iPhone5和5c設(shè)備上�����,此DFU攻擊的速度為每秒13.6個(gè)密碼,只需12分鐘即可解鎖受4位PIN保護(hù)的iPhone��。6位PIN最多需要21小時(shí)����。智能攻擊將自動(dòng)用于嘗試盡可能多地減少這一時(shí)間。在不到4分鐘的時(shí)間內(nèi)��,該工具將嘗試數(shù)千個(gè)最常用的密碼���,如000000�、123456或121212�,然后根據(jù)出生日期嘗試6位PIN。其中74000人���,智能攻擊大約需要1.5小時(shí)��。如果仍不成功���,則會(huì)啟動(dòng)其余密碼的全部暴力。(注意:iPhone 4上的密碼恢復(fù)速度為每秒6.6個(gè)密碼)����。
舊版iOS設(shè)備(包括iPhone 4��、4s(1)��、5和5c)可進(jìn)行全面物理采集�。對于所有支持的模型�����,Toolkit可以提取用戶分區(qū)的位精確圖像并解密密鑰鏈��。如果設(shè)備運(yùn)行的是iOS 4到7�,則即使不破壞屏幕鎖定密碼也可以執(zhí)行成像�����,而運(yùn)行iOS 8到10的設(shè)備需要先破壞密碼���。對于所有支持的模型�����,Toolkit可以提取和解密用戶分區(qū)和密鑰鏈�����。
(1) iPhone 4s���、iPod Touch 5���、iPad 2和3設(shè)備可通過定制的flashed Raspberry Pi Pico板進(jìn)行密碼解鎖和基于checkm8的取證,該板用于應(yīng)用漏洞攻擊����。固件映像隨iOS Forensic Toolkit提供;未提供Pico板��。
擴(kuò)展邏輯獲取
iOS Forensic Toolkit支持邏輯采集����,與物理采集相比,這是一種更簡單��、更安全的采集方法�����。Logical acquisition對設(shè)備中存儲(chǔ)的信息進(jìn)行標(biāo)準(zhǔn)iTunes風(fēng)格的備份,提取媒體和共享文件�����,并提取系統(tǒng)崩潰日志����。雖然邏輯采集返回的信息少于物理采集,但建議專家在嘗試更具侵入性的采集技術(shù)之前創(chuàng)建設(shè)備的邏輯備份���。
我們始終建議將邏輯采集與物理采集相結(jié)合��,以安全提取所有可能類型的證據(jù)���。
快速提取媒體文件,如相機(jī)卷�、書籍��、語音記錄和iTunes媒體庫�。與創(chuàng)建本地備份(這可能是一個(gè)冗長的操作)相反,媒體提取可以在所有支持的設(shè)備上快速工作�。可以使用配對記錄(鎖定文件)從鎖定設(shè)備中提取���。
除了媒體文件�����,iOS Forensic Toolkit還可以提取多個(gè)應(yīng)用程序的崩潰/診斷日志和存儲(chǔ)文件�,提取關(guān)鍵證據(jù)而無需越獄。提取Adobe Reader和Microsoft Office本地存儲(chǔ)的文檔��、MiniKeePass密碼數(shù)據(jù)庫等�����。提取需要解鎖的設(shè)備或未過期的鎖定記錄����。
無論硬件生成和越獄狀態(tài)如何,邏輯采集都可用于所有設(shè)備��。冷啟動(dòng)后����,設(shè)備必須至少解鎖一次;否則���,無法啟動(dòng)設(shè)備備份服務(wù)���。
專家需要使用密碼或觸摸ID解鎖設(shè)備�,或使用從用戶計(jì)算機(jī)提取的未過期鎖定文件����。
如果設(shè)備配置為生成密碼保護(hù)的備份,專家必須使用Elcomsoft電話斷路器恢復(fù)密碼并刪除加密����。還需要Elcomsoft手機(jī)斷路器來查看鑰匙鏈記錄。如果未設(shè)置備份密碼����,該工具將自動(dòng)使用臨時(shí)密碼(“123”)配置系統(tǒng),以便能夠解密鑰匙鏈項(xiàng)目(密碼將在獲取后重置)�。
使用鎖定(配對)記錄,即使在斷電或重新啟動(dòng)后�,也可以從鎖定的iOS設(shè)備中提取信息。以下矩陣適用于運(yùn)行iOS 8及更高版本的設(shè)備:
|
|
基本設(shè)備信息
|
高級設(shè)備信息
|
應(yīng)用程序列表
|
媒體
|
iTunes風(fēng)格備份
|
|
設(shè)備鎖定��,無鎖定記錄
|
是
|
否
|
否
|
否
|
否
|
|
設(shè)備重新啟動(dòng)后從未解鎖���,存在鎖定
|
是
|
是
|
否
|
否
|
否
|
|
設(shè)備重新啟動(dòng)后解鎖,存在鎖定
|
是
|
是
|
是
|
是
|
是
|
支持的設(shè)備和采集方法
iOS Forensic Toolkit實(shí)現(xiàn)了對從iPhone 5s到iPhone 13���、13 Pro��、iPhone 13 mini和iPhone 13 Pro Max的越獄設(shè)備的物理獲取支持���。
以下兼容性矩陣適用:
- 密碼解鎖:通過DFU漏洞強(qiáng)行鎖定4位和6位屏幕密碼���。所有iOS版本,iPhone 4���、4s���、5和5c設(shè)備。
- 傳統(tǒng)設(shè)備:iPhone 4�����、4s����、5和5c設(shè)備的位精確成像和解密。
- 代理(無越獄):運(yùn)行iOS 9到15.1.1的設(shè)備的完整文件系統(tǒng)提取和密鑰鏈解密(基于M1的iPad Pro 5的iOS 15.1)����。相應(yīng)的iPad型號也包括在內(nèi)�����。蘋果開發(fā)者注冊是必需的(Windows)/可選的(macOS)�����。
- 使用越獄:對運(yùn)行任何版本的iOS的越獄設(shè)備進(jìn)行物理收購��,可以使用越獄(iPhone 4s到iPhone 12 Pro Max�,大多數(shù)iPad型號���,Apple TV 4和4K)�。
- 通過Bootrom漏洞(checkm8):從iPhone 5s到iPhone X的取證文件系統(tǒng)和鑰匙鏈獲取
- 無越獄:邏輯獲取��、共享文件和媒體提取��,用于運(yùn)行無越獄版本的iOS設(shè)備����。設(shè)備必須使用密碼、觸摸ID或鎖定記錄解鎖
執(zhí)行iPhone���、iPad和iPod Touch設(shè)備的物理和邏輯采集�����。映像設(shè)備文件系統(tǒng)��,提取設(shè)備機(jī)密(密碼�、加密密鑰和受保護(hù)數(shù)據(jù))并解密文件系統(tǒng)映像�。
兼容設(shè)備和平臺
- iPhone 4、5和5c:通過DFU解鎖密碼(僅適用于macOS版)
- iPhone 4��、4s�����、5和5c:具有位精確成像和鑰匙鏈解密的物理采集(僅適用于macOS版)(iPhone 4s支持需要復(fù)盆子Pi Pico板)
- iPhone 5s�����、6��、6 Plus�、6s、6s Plus���、SE(原版)�、7、7 Plus����、8、8 Plus�����、X:取證聲音檢查M8提?�。▋H適用于macOS版)
- iPad 5�����、6和7�、iPad Mini 2、3和4��、iPad Air 1和2�、iPad Pro 1和2,iPod Touch 6和7���,以及Apple TV 4和4K:取證聲音檢查M8提?����。▋H適用于macOS版)
- 具有越獄功能的64位iOS設(shè)備:文件系統(tǒng)提取����、密鑰鏈解密
- 從iPhone 5s到iPhone X的BFU�、鎖定和禁用的iPhone型號的部分文件系統(tǒng)和鑰匙鏈獲取
- 蘋果電視4(有線連接)和蘋果電視4K(僅通過Xcode和Mac進(jìn)行無線連接)
- 蘋果手表(各代);需要第三方IBUS適配器
- 無越獄:支持設(shè)備的基于代理的提?���。凰衅渌O(shè)備的高級邏輯采集
邏輯采集包括:
- 設(shè)備的擴(kuò)展信息
- iTunes格式備份(包括許多鑰匙鏈項(xiàng)目)
- 已安裝應(yīng)用程序列表
- 媒體文件(即使備份受密碼保護(hù))
- 共享文件(即使備份受密碼保護(hù))
系統(tǒng)要求
Windows
Apple macOS
- macOS 10.13 High Sierra
- macOS 10.14 Mojave
- macOS 10.15 Catalina
- macOS 11 Big Sur
- macOS 12 Monterey
用于Windows的iOS Forensic Toolkit需要安裝最新版本的iTunes���。macOS版本不保證在虛擬機(jī)或黑客電腦上工作�。還請注意�����,該產(chǎn)品的某些特定功能(傳統(tǒng)32位設(shè)備的物理購置���、使用非開發(fā)人員賬戶的代理安裝�����、checkm8購置)僅在macOS版本中可用����。
發(fā)行說明
Elcomsoft iOS Forensic Toolkit v.7.60
2022年8月25日
- 增加了對A11-A15和M1上iOS 15.2至15.3.1的支持(僅限完整文件系統(tǒng),目前無鑰匙鏈)
- 增加了對iOS 15.6.1的支持(僅測試版)
- 改進(jìn)的Apple TV 4K固件處理(僅8 beta 13版本)
- 小的改進(jìn)和錯(cuò)誤修復(fù)
卸載過程:要卸載產(chǎn)品�����,請通過“控制面板-程序和功能”遵循標(biāo)準(zhǔn)過程�����,或使用Windows“開始”菜單中產(chǎn)品文件夾中相應(yīng)的Uninstall鏈接�。
