Elcomsoft iOS Forensics Toolkit: iPhone/iPad/iPod 设备取证工具包

天津鸿萌科贸发展有限公司是 ElcomSoft 系列取证软件的授权代理商。

Elcomsoft iOS Forensics Toolkit 软件工具包适用于取证工作,对 iPhone、iPad 和 iPod Touch 设备执行完整文件系统和逻辑数据采集。对设备文件系统制作镜像,提取设备机密(密码、加密密钥和受保护数据)并解密文件系统镜像。

  • 完整的文件系统提取和钥匙串解密
  • 逻辑获取提取备份、崩溃日志、媒体和共享文件
  • 旧版设备的密码解锁和物理获取
  • 提取并解密受保护的钥匙串项目
  • 通过修改后的引导加载程序,可提取特定 iPhone 和 iPad 型号数据,满足取证要求
  • 自动禁用屏幕锁定以实现平稳、不间断的采集

支持:各版本 iPhone、iPad、iPad Pro 和 iPod Touch、第一代 HomePod;Apple Watch、Apple TV 4 和 4K;从 iOS 3 到 iOS 17 的所有 iOS 版本

最新功能突破

 适用于 iOS 16.0 - 16.6.1 的完整低级提取和钥匙串解密

低级文件系统提取和钥匙串解密现在可用于比以往更广泛的 iOS 版本。完整的低级提取现已适用于 iOS 16 至 16.6.1。新方法支持采用 A11 和更新芯片构建的设备,有效覆盖 iPhone 8/8 Plus/iPhone X,以及 iPhone Xs/Xr 至 iPhone 14/14 Pro 系列,并支持许多 iPad,包括基于 Apple 的 iPad M1和M2芯片。

 增强对旧版设备的支持:在 Windows 和 Linux 中挂载 HFS 镜像

最新版本使 Windows 和 Linux 用户能够挂载从旧版 Apple 设备中提取的 HFS 磁盘镜像。这项新功能使专家能够在 Linux 和 Windows 计算机上高效地处理和分析从旧版 Apple 设备中提取的数字证据。

全功能介绍

 对运行 Apple iOS 的 iPhone/iPad/iPod 设备进行取证访问

对 iPhone/iPad/iPod 设备中存储的用户数据进行完整的取证采集。Elcomsoft iOS Forensic Toolkit 允许对设备的文件系统制作镜像、提取设备机密(密码、口令和加密密钥)并通过锁定记录访问锁定的设备。

支持以下提取方法:

  • 高级逻辑获取(备份、媒体文件、崩溃日志、共享文件)(所有设备、所有版本的 iOS)
  • 基于代理的直接提取(所有 64 位设备,选择 iOS 版本)
  • 基于引导加载程序的 checkm8 提取(选择设备),满足取证要求
  • 密码解锁和真实物理获取(选择32位设备)

 多平台可用性

iOS Forensic Toolkit 适用于 macOS、Windows 和 Linux。

Linux 版本正式支持 Debian、Ubuntu、Kali Linux 和 Mint

 完整文件系统提取和钥匙串解密

基于直接访问文件系统的低级提取方法可用于各种 iOS 设备和操作系统版本。该采集方法使用内部开发的提取工具,将提取剂安装到正在采集的设备上。该代理与专家的计算机进行通信,提供强大的性能和极高的提取速度,最高可达每分钟 2.5 GB 的数据。

使用提取代理对于设备本身来说本质上是安全的,因为它既不会修改系统分区,也不会重新安装文件系统。提取代理采用的低级提取技术产生的数据与通过 checkm8 等物理提取方法获得的数据一样多。文件系统镜像和所有钥匙串记录都可以根据操作系统版本进行提取和解密。

可以提取整个文件系统,也可以使用快速提取选项,仅从用户分区获取文件。通过跳过存储在设备系统分区中的文件,快速提取选项有助于减少完成工作所需的时间,并减少静态内容的存储空间。

Windows 和 Linux 用户需要在 Apple 开发者计划中注册的 Apple ID 才能安装和签署提取代理。Mac 用户可以使用常规 Apple ID 来签名和旁加载提取代理。

 使用引导加载程序漏洞进行提取,满足取证要求

为了保留数字证据,软件从数据收集的第一步就开始一系列的监管,以确保调查期间收集的数字证据仍然可以被法庭采信。基于引导加载程序的新提取方法可在提取会话中提供可重复的结果。在受支持的设备上使用 iOS Forensic Toolkit 时,第一个提取的镜像的校验和与后续提取的校验和匹配,前提是该设备在提取之间关闭电源,并且在此期间从不启动已安装的 iOS 版本。

新的提取方法是迄今为止最干净的。所有工作完全在 RAM 中执行,并且在提取过程中不会启动设备上安装的操作系统。我们独特的直接提取技术具有以下优点:

  • 可重现结果。如果设备保持关闭状态并且在会话之间从不启动 iOS,则后续提取的校验和将与第一个提取的校验和相匹配。
  • 支持iPhone X、iPhone 8/7/Plus、6s/6/Plus、SE(原版)、iPhone 5s
  • 总共支持多种 Apple 型号,包括 25 款 iPhone、40 款 iPad、3 款 iPod、4 款 Apple TV 和 4 款 Apple Watch 型号
  • 广泛的 iOS 兼容性。支持 iOS 3 到 iOS 16(A11 Bionic iPhone 不支持 iOS 16)。
  • 不更改系统和数据分区。
  • 零数据修改策略:100% 的修补发生在 RAM 中。
  • 对安装过程提供完整引导,并且非常可靠。
  • BFU 模式支持锁定设备,而对 USB 限制模式则可以完全绕过。

兼容性:Mac 和 Linux 版本均提供引导加载程序级提取。

 旧版设备的解锁和镜像:iPhone 3G/3GS、4、4s、5 和 5c

对旧版 iPhone 型号,提供密码解锁和镜像支持。

该工具包可用于通过尝试恢复原始 4 位或 6 位 PIN 来解锁受未知屏幕锁定密码保护的加密 iPhone 3G/3GS、4、4s (1)、5 和 5c 设备。这种 DFU 攻击只需 12 分钟即可解锁受 4 位数 PIN 保护的 iPhone 5,而 6 位数 PIN 则需要长达 21 小时。将自动使用智能攻击来尝试尽可能多地削减这次时间。在不到 4 分钟的时间内,该工具将尝试数千个最常用的密码,例如 000000、123456 或 121212,然后是基于出生日期的 6 位 PIN。其中 74,000 个此类攻击,智能攻击大约需要 1.5 小时。如果仍然不成功,则会启动其余密码的完整暴力破解。

对旧版 iOS 设备,支持完整的物理获取,包括 iPhone、iPhone 3G/3GS、4、4s (1)、5 和 5c。对于所有支持的型号,工具包可以提取用户分区的精确位图并解密钥匙串。如果设备运行的是 iOS 4 到 7,即使不破解屏幕锁定密码也可以执行成像,而运行 iOS 8 到 10 的设备则需要先破解密码。对于所有支持的型号,工具包可以提取和解密用户分区和钥匙串。

(1) 通过自定义Raspberry Pi Pico 板,可以为 iPhone 4s、iPod Touch 5、iPad 2 和 3 设备提供密码解锁和基于 checkm8提取,满足取证要求,该Pico板用于针对应用该漏洞。固件镜像随 iOS Forensic Toolkit 提供;不提供 Pico 板。

注意:仅限 Mac 和 Linux 版本;iPhone 4s 支持需要带有自定义固件(已提供)的 Raspberry Pi Pico 板(未提供)。对于 iOS 4 到 7,设备镜像不需要密码恢复。对于 iOS 8 和 9,必须在镜像之前恢复密码(否则,可用的 BFU 提取有限)。为 iPhone 5 提供的解锁速度估算;攻击在旧设备上运行速度较慢。

 扩展逻辑采集

iOS Forensic Toolkit支持逻辑获取,简单安全的获取方式。逻辑获取会对设备中存储的信息生成标准的 iTunes 式备份、提取媒体和共享文件并提取系统崩溃日志。虽然逻辑采集返回的信息少于低级提取,但建议专家在尝试更具侵入性的采集技术之前创建设备的逻辑备份。

我们始终建议将逻辑获取与低级提取结合使用,以安全地提取所有可能类型的证据。

快速提取媒体文件,如相机胶卷、书籍、录音和 iTunes 媒体库。与创建本地备份(这可能是一个可能很长的操作)相反,媒体提取可以在所有支持的设备上快速运行。通过使用配对记录(锁定文件)可以从锁定的设备中提取数据。

除了媒体文件之外,iOS Forensic Toolkit 还可以提取多个应用程序的崩溃/诊断日志和存储文件。提取 Adob​e Reader 和 Microsoft Office 本地存储的文档、MiniKeePass 密码数据库等等。提取需要解锁的设备或未过期的锁定记录。

逻辑采集适用于所有设备,无论硬件代次和 iOS 版本如何。专家需要使用密码或 Touch ID 解锁设备,或者使用从用户计算机中提取的未过期的锁定文件。

如果设备被s配置为生成受密码保护的备份,专家必须使用Elcomsoft Phone Breaker来恢复密码并删除加密。如果未设置备份密码,该工具将自动为系统配置一个临时密码(“123”),以便能够解密钥匙串项目(密码将在获取后重置)。

 支持的设备和采集方法

iOS Forensic Toolkit 为从 iPhone 3G 到 iPhone 14、14 Pro 和 iPhone 14 Pro Max 系列的设备实现底层提取支持。

支持以下情况:

  • 密码解锁:通过 DFU 漏洞暴力破解 4 位和 6 位屏幕锁定密码。所有 iOS 版本、iPhone 3G/3GS、4、4s、5 和 5c 设备。[1] [2]
  • 旧版设备:iPhone 3G/3GS、4、4s、5 和 5c 设备的位精确成像和解密。[1] [2]
  • 代理:为运行 iOS 12 至 16.5 的许多设备提供完整的文件系统提取和钥匙串解密。相应的 iPad 型号也包括在内。需要 Apple 开发者注册 (Windows)/可选 (macOS)。
  • 利用 Bootrom 漏洞 (checkm8):针对所有受支持的 iOS 版本,对 76 个 Apple 设备进行取证健全的文件系统和钥匙串获取。[1]
  • 其他 Apple 设备:运行提取代理不支持的 iOS 版本的设备的高级逻辑获取、共享文件和媒体提取。设备必须解锁并与专家的计算机配对。

对 iPhone、iPad 和 iPod Touch 设备执行物理和逻辑采集。镜像设备文件系统,提取设备机密(密码、加密密钥和受保护数据)并解密文件系统镜像。

  1. 仅适用于 Mac 和 Linux 版本。
  2. 对于 iPhone 4s,需要自定义固件 Raspberry Pi Pico 板。

 Apple Watch、Apple TV 和 HomePod 提取

Elcomsoft iOS Forensic Toolkit 是市场上唯一一款从 Apple TV、Apple Watch 和第一代 HomePod 设备中提取信息的第三方工具。虽然专家可能会尝试为与 Apple Watch 配对的用户 iPhone 创建 iTunes 式备份,但如果 iPhone 被安全锁定,则本地备份可能不可用。即使 iPhone 被锁定或不可用,直接从 Watch 提取信息也可以访问信息。虽然 Apple Watch 不提供独立的 iTunes 式备份,但专家仍然可以访问崩溃日志和媒体文件,包括 EXIF 和位置数据。

  • 连接Watch需要第三方 IBUS 适配器
  • Apple Watch S0 至 S3 的 checkm8 提取
  • Apple Watch S0 至 S6 的逻辑收购

Apple TV 设备不支持 iTunes 式备份,但如果用户在其 iCloud 帐户中启用了 iCloud 照片,则可能包含用户整个 iCloud 照片库的本地副本。由于 Apple TV 不具有密码保护功能,因此即使用户的 iPhone 被锁定并且 iCloud 密码未知,也可以提取数据。Apple TV 4 需要有线连接,Apple TV 4K 需要通过 Xcode 进行无线连接。

Apple TV 4K(第一代)及较旧版本、Apple Watch S3 及较旧版设备以及第一代 HomePod 支持满足取证要求的checkm8 提取。可能需要定制适配器。

 钥匙串提取

Elcomsoft iOS Forensic Toolkit 可以提取钥匙串项目,包括受 ThisDeviceOnly 属性保护的钥匙串项目,从而使调查人员能够访问高度敏感的数据,例如网站和其他资源(以及在许多情况下,Apple ID)的登录/密码信息。

在整个钥匙串获取过程中,设备必须保持解锁状态。iOS Forensic Toolkit 采用了禁用自动屏幕锁定的工具。

 DFU、恢复和诊断模式

通过 DFU、恢复和诊断模式获取有关锁定和禁用设备的信息。即使设备在 10 次解锁尝试失败后被锁定,或者 USB 限制模式被激活,您仍然可以将其切换到恢复或 DFU。借助 Elcomsoft iOS Forensic Toolkit,您可以提取有关设备的重要信息,包括设备型号标识符、ECID/UCID、序列号,以及在某些情况下的 IMEI 号码。此外,恢复模式还会返回有关引导加载程序版本的信息,这有助于确定 iOS 版本或设备上安装的 iOS 版本范围。

 使用 Raspberry Pi Pico 实现自动化

使用带有 ElcomSoft 固件的 Raspberry Pi Pico 板,可以自动执行一些原本耗时且劳动密集型的例程。

自动DFU

Auto-DFU 允许专家自动将 iPhone 8、iPhone 8 Plus 和 iPhone X 设备切换到 DFU,从而大大简化了流程,否则将需要安装精确计时进行一系列按钮操作。当设备的按钮损坏时,自动 DFU 模式是必不可少的,否则需要拆卸才能进入 DFU。此功能需要使用预编程的 Raspberry Pi Pico 设备。

滚动截图

这种自动功能允许以半自动方式制作长的、可滚动的屏幕截图。此功能适用于所有设备和 iOS 版本。

捕获屏幕截图可能是移动设备调查中的关键步骤。通过对连接的 iOS 设备上显示的内容进行一系列屏幕截图,调查人员可以收集可能无法通过其他方式访问的数字证据,例如高级逻辑获取,其中受保护的聊天历史等数据可能无法获得。在某种程度上,这个新功能可以看作是除了云、高级逻辑和底层提取方法之外的一种新的提取工具。

用于保护代理侧载的功能防火墙

侧载和运行低级提取代理可能需要通过 Apple 服务器验证应用程序的数字签名,这需要具有相关风险的在线连接。我们开发了一种基于 Raspberry Pi 4 的开源解决方案,通过将设备的连接限制为仅与证书验证所需的服务器来最大程度地降低风险。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/577053.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

【机器学习】集成学习:强化机器学习模型与创新能的利器

集成学习:强化机器学习模型预测性能的利器 一、集成学习的核心思想二、常用集成学习方法Bagging方法Boosting方法Stacking方法 三、集成学习代表模型与实现四、总结与展望 在大数据时代的浪潮下,机器学习模型的应用越来越广泛,而集成学习作为…

Centos7 yum报错 Could not resolve host: mirrorlist.centos.org

yum install报如下错误 应该是网络问题,检查是不是这个文件配置错了导致连不上网 /etc/sysconfig/network-scripts/ifcfg-ens33 注意里面的DNS配置 可以在服务器ping一下百度 ping wwww.baidu.com

QX2303L50F输入电压0.7V~5V输出电压5V非同步DCDC最大输出电流800mA

前言 外围较简单,价格较低,小电流输出时,最低启动电压0.8V 输出电压有多种,封装有多种 参考价格约0.2元 QX2303典型应用电路图 QX2303封装 QX2303丝印 1.概述 QX2303 系列产品是一种高效率、低纹波、工作频率高的 PFM 升压 DC-…

战胜DALL·E 3和 Midjourney的开源模型来了——playground-v2.5

这是首次超越闭源AI模型的开源时刻。Playground AI 前不久宣布Playground v2.5正式开源。Playground v2.5 是美学质量方面最先进的开源模型,特别关注增强的颜色和对比度、改进的多纵横比生成以及改进的以人为中心的精细细节。并且在美学质量方面树立了新标准&#x…

从单按键状态机思维扫描引申到4*4矩阵按键全键无冲扫描,一步一步教,超好理解,超好复现(STM32程序例子HAL库)

目前大部分代码存在的问题 ​ 单次只能对单个按键产生反应;多个按键按下就难以修改;并且代码耦合度较高,逻辑难以修改,对于添加长按,短按,双击的需求修改困难。 解决 16个按键按下无冲,并且代…

AIGC技术带来的安全与隐私问题探讨

如何看待AIGC技术? 简介:探讨AIGC技术的发展现状和未来趋势。提醒:在发布作品前,请把不需要的内容删掉。 方向一:技术应用 机遇和挑战 AIGC国内场景应用图谱 方向二:伦理与风险 垄断与隐私风险 AI民主化诉…

Linux--MyMiniTry--Vim

首先下载好vim,我们可以按以下的方式进行光标的移动(也可以回车进行换行) (--> 进入教程) (初始的时候没有文本,你怎么按都没有用) (我们要先按 i ,进行插入文本才…

前端单元测试的艺术:专业化策略与Vue项目高效实践指南

单元测试是软件开发中的基石,尤其对于前端领域,它为保证代码质量、提升开发效率、强化项目稳定性提供了不可或缺的支持。本文将深入剖析单元测试的核心理念,揭示其在前端开发中的独特价值,并提炼出一套专业且高效的实践策略&#…

全志ARM-官方库SDK安装和验证

进入界面,输入以下指令 git clone https://github.com/orangepi-xunlong/wiringOP //下载源码 cd wiringOP //进入文件夹 sudo ./build clean //清除编译信息 sudo ./build …

电容的理论基础

目录 1.电容的本质: 2.电容量的大小 2.1电容的单位 2.2电容的决定式 ​编辑3.电容的特点 5.电容器的类型 6.电容实际的电路模型 7.安装方法 ​编辑8.电容值 9.电容的耐压、封装 10.阻抗-频率特性 11.频率特性 12.等效串联电组ESR 13.电容器的温度特性…

[C++基础学习]----03-程序流程结构之选择结构详解

前言 本篇都是在自学C基础知识的基础上,加上本身理解所完成的,为了便于记录学习情况,使用更加容易理解的话术描述出来,方便使用。 在C程序中,选择结构(也称为条件结构)用于根据特定的条件执行不…

python 使用flask_httpauth和pyjwt实现登录权限控制

最近需要用到,学习了一下记录 首先安装依赖 pip install Flask-HTTPAuth pyjwt passlib Welcome to Flask-HTTPAuth’s documentation! — Flask-HTTPAuth documentation Welcome to PyJWT — PyJWT 2.8.0 documentation Passlib 1.7.4 documentation — Passl…

Unity类银河恶魔城学习记录15-1,2 p153 Audio Manager p154 Audio distance limiter

Alex教程每一P的教程原代码加上我自己的理解初步理解写的注释,可供学习Alex教程的人参考 此代码仅为较上一P有所改变的代码 【Unity教程】从0编程制作类银河恶魔城游戏_哔哩哔哩_bilibili AudioManager.cs using System.Collections; using System.Collections.Gen…

Grafana 系列|Grafana 监控 TDengine集群

Grafana 监控 TDengine集群有两种方式: 一、 taosKeeper监控 TDengine 通过 taosKeeper 将服务器的 CPU、内存、硬盘空间、带宽、请求数、磁盘读写速度等信息定时写入指定数据库。TDengine 还将重要的系统操作(比如登录、创建、删除数据库等&#xff0…

OpenHarmony语言基础类库【@ohos.util.HashSet (非线性容器HashSet)】

HashSet基于[HashMap]实现。在HashSet中,只对value对象进行处理。 HashSet和[TreeSet]相比,HashSet中的数据无序存放,即存放元素的顺序和取出的顺序不一致,而TreeSet是有序存放。它们集合中的元素都不允许重复,但Hash…

八国语言50种海外电子游戏源码 海外游戏开发BTC虚拟币支付 外国电子游艺 游戏源码交易平台 搭建教程

全新海外版的游戏竞猜玩法带搭建教程 系统支持八国语言,50种游戏,支持 Paypal、人工充值、BTC多种支付 源码下载:https://download.csdn.net/download/m0_66047725/89105597 更多资源下载:关注我。

WEB攻防-PHP特性-CMS审计实例

前置知识&#xff1a;PHP函数缺陷 测试环境&#xff1a;MetInfo CMS 函数缺陷导致的任意文件读取 漏洞URL&#xff1a;/include/thumb.php?dir 漏洞文件位置&#xff1a;MetInfo6.0.0\app\system\include\module\old_thumb.class.php <?phpdefined(IN_MET) or exit(No…

Python用于高级异常检测和聚类的工具库之BanditPAM使用详解

概要 Python BanditPAM库是一个用于高级异常检测和聚类的工具,具有强大的特性和灵活的功能,可以发现数据中的异常点并进行有效的聚类分析。本文将详细介绍Python BanditPAM库的安装、特性、基本功能、高级功能以及总结。 安装 首先,需要安装Python BanditPAM库。 可以使用…

2024年智能手表行业线上市场销售数据分析

智能手表市场近几年随着各大厂商的加入&#xff0c;逐渐朝着专业化、智能化发展。从一开始被认为是“智商税”、“鸡肋产品”到如今可以成为人体心脑血管健康监测、专业运动测速、移动定位的“多功能电子管家”&#xff0c;智能手表市场仍在不断发展中。 根据鲸参谋数据显示&a…

Git -- 运用总结

文章目录 1. Git2. 基础/查阅2.1 基础/查阅 - git2.2 仓库 - remote2.3 清理 - rm/clean2.4 版本回退 - reset 3. 分支3.1 分支基础 - branch3.2 分支暂存更改 - stash3.3 分支切换 - checkout 4. 代码提交/拉取4.1 代码提交 - push4.2 代码拉取 - pull 1. Git 2. 基础/查阅 2…