執(zhí)行iPhone�����、iPad和iPod Touch設(shè)備的完整文件系統(tǒng)和邏輯采集�����。映像設(shè)備文件系統(tǒng)�,提取設(shè)備機密(密碼�����、加密密鑰和受保護數(shù)據(jù))并解密文件系統(tǒng)映像�。
- 完整文件系統(tǒng)提取和密鑰鏈解密,無需越獄
- 邏輯采集提取備份��、崩潰日志�、媒體和共享文件
- 傳統(tǒng)設(shè)備的密碼解鎖和物理獲取
- 提取和解密受保護的鑰匙鏈項目
- 通過修改的引導加載程序,為選定的iPhone和iPad機型進行可重復的取證聲音提取
- 自動禁用屏幕鎖定����,以實現(xiàn)平穩(wěn)�、不間斷的采集
支持:所有代iPhone����、iPad���、iPad Pro和iPod Touch�����,有越獄或無越獄功能���;Apple Watch和Apple TV 4和4K;從iOS 7到iOS 15.x的所有iOS版本
新功能
選中選定iPhone型號的M8提取
Mac版iOS Forensic Toolkit 8.0 beta版引入了一種新的提取方法��,用于基于修改的引導加載程序選擇iOS設(shè)備�����。新的提取方法是迄今為止最干凈的�,能夠?qū)崿F(xiàn)可重復的、可驗證的提取和具有良好法律效力的工作流��。
適用于Mac的iOS Forensic Toolkit 8.0的第四個測試版為具有引導加載程序漏洞的最新一代iPhone設(shè)備添加了checkm8提取支持��,其中包括iPhone 8�、8 Plus和iPhone X設(shè)備��,這些設(shè)備運行iOS 15.5之前的所有支持版本��。這完成了可以使用iOS Forensic Toolkit 8.0測試版提取的設(shè)備范圍��,它現(xiàn)在包括從iPhone 5s到iPhone X的所有64位iPhone型號�����,沒有任何間隙或排除����。
檢查其他iPad�����、iPod Touch和Apple TV型號的M8支持
適用于Mac的Elcomsoft iOS Forensic Toolkit 8.0的第九個測試版增加了對iPad 5���、6和7����、iPad Mini 2���、3和4��、iPad Air 1和2以及iPad Pro 1和2(分別為9.7英寸和12.9英寸型號)的支持���。此外,還支持iPod Touch 6和7以及Apple TV 3和4K���。目前�����,我們的checkm8提取解決方案支持所有具有引導加載程序漏洞的iPad和所有iPod Touch型號�����,沒有例外�。
Extraction agent獲得對iOS 15.2到15.3.1的低級提取支持
Elcomsoft iOS Forensic Toolkit 7.60為多代Apple設(shè)備提供了低級提取支持����,為基于Apple A11-A15和M1芯片的iOS 15.2到15.3.1設(shè)備添加了完整的文件系統(tǒng)提取。
此外����,我們更新了iOS Forensic Toolkit8.0 beta 13,添加了相同的基于代理的提取支持��,并將取證聲音checkm8提取擴展到新發(fā)布的iOS 15.6.1。
更新后的工具包現(xiàn)在支持從iOS 9.0到iOS 15.3.1的所有iOS版本的基于代理的完整文件系統(tǒng)提取�����。除了文件系統(tǒng)提取�����,iOS 9.0到iOS15.1.1的多個平臺還支持密鑰鏈解密�。
iOS Forensic Toolkit 8.0 beta 13獲得了Elcomsoft iOS Forensic Toolkit 7.40的所有新功能,并為最新版本的iOS 15.6.1添加了checkm8獲取支持����。
對運行Apple iOS的iPhone/iPad/iPod設(shè)備的取證訪問
對iPhone/iPad/iPod設(shè)備中存儲的用戶數(shù)據(jù)執(zhí)行完整的取證采集。Elcomsoft iOS Forensic Toolkit允許成像設(shè)備的文件系統(tǒng)�����,提取設(shè)備機密(密碼�、密碼和加密密鑰),并通過鎖定記錄訪問鎖定設(shè)備����。
支持以下提取方法:
- 高級邏輯采集(備份、媒體文件、崩潰日志����、共享文件)(所有設(shè)備、所有版本的iOS)
- 基于代理的直接提?���。ㄋ?4位設(shè)備�,選擇iOS版本)
- 基于checkm8提取的取證聲音引導程序(選擇設(shè)備)
- 基于越獄的提取(所有帶有公共越獄的設(shè)備和版本的iOS)
- 密碼解鎖和真正的物理采集(選擇32位設(shè)備)
完整文件系統(tǒng)提取和密鑰鏈解密
基于直接訪問文件系統(tǒng)的無越獄提取方法可用于有限范圍的iOS設(shè)備�。使用內(nèi)部開發(fā)的提取工具,該獲取方法將提取劑安裝到被獲取的設(shè)備上���。該代理與專家的計算機通信����,提供強大的性能和極高的提取速度�,每分鐘超過2.5 GB的數(shù)據(jù)。
更好的是����,基于代理的提取是完全安全的,因為它既不修改系統(tǒng)分區(qū)���,也不重新裝載文件系統(tǒng)�����,同時對提取的信息執(zhí)行自動動態(tài)哈希��?���;诖淼奶崛〔粫τ脩魯?shù)據(jù)進行任何更改,從而提供取證聲音提取����。
文件系統(tǒng)映像和所有密鑰鏈記錄都被提取和解密?��;诖淼奶崛》椒ㄌ峁┝丝煽康男阅?,并導致取證聲音提取��。提取后�,只需按一下按鈕即可從設(shè)備中移除代理。
您可以提取整個文件系統(tǒng)�,也可以使用快速提取選項,只從用戶分區(qū)獲取文件���。通過跳過存儲在設(shè)備系統(tǒng)分區(qū)中的文件�,快速提取選項有助于減少執(zhí)行作業(yè)所需的時間,并將存儲空間減少數(shù)GB的靜態(tài)內(nèi)容�。
安裝和簽署提取代理需要在Apple Developer Program中注冊Apple ID。Mac版取消了這一要求�,允許使用常規(guī)的Apple ID對提取代理進行簽名并將其側(cè)載到iOS設(shè)備上。
基于越獄的提取
除了基于代理的提取外�����,iOS Forensic Toolkit還完全支持提取所有可使用越獄功能的越獄設(shè)備���。完整文件系統(tǒng)提取和密鑰鏈解密可用于越獄設(shè)備。支持所有公共越獄��。
精選iPhone和iPad型號的法醫(yī)聲音提取
為了保存數(shù)字證據(jù)�,監(jiān)管鏈從數(shù)據(jù)收集的第一點開始,以確保在調(diào)查期間收集的數(shù)字證據(jù)保持法院受理狀態(tài)�。新的、基于引導加載程序的提取方法跨提取會話提供可重復的結(jié)果�。在受支持的設(shè)備上使用iOS Forensic Toolkit時,如果設(shè)備在兩次提取之間斷電�����,并且在此期間從不引導已安裝的iOS版本,則第一個提取圖像的校驗和將與后續(xù)提取的校驗和匹配���。
新的提取方法是迄今為止最干凈的�����。我們實現(xiàn)的基于引導加載程序的漏洞利用直接源自源代碼���。所有工作都完全在RAM中執(zhí)行,設(shè)備上安裝的操作系統(tǒng)保持不變�����,在引導過程中不使用��。我們獨特的直接提取工藝具有以下優(yōu)點:
- 可重復的結(jié)果���。如果設(shè)備一直處于關(guān)閉狀態(tài)�,并且從不在會話之間引導iOS����,則后續(xù)提取的校驗和將與第一個匹配。
- 支持iPhone 5s��、6/6s/Plus、SE(原裝)��、iPhone 7/8/Plus��、iPhone X����。
- 支持iPad 5、6和7���、iPad Mini 2�、3和4���、iPad Air 1和2�、iPad Pro 1和2�,iPod Touch 6和7����,以及Apple TV 4和4K
- iOS兼容性廣。支持iOS 8.0至iOS 15.5�。
- 非接觸式系統(tǒng)和數(shù)據(jù)分區(qū)。
- 零修改策略:100%的補丁發(fā)生在RAM中��。
- 與越獄相比,安裝過程得到充分指導�����,更加可靠�。
- 鎖定設(shè)備支持BFU模式,而USB限制模式可以完全繞過�����。
注:引導加載程序級別的提取只在Mac版本中提供��,需要一臺macOS計算機�。
解鎖和成像傳統(tǒng)設(shè)備:iPhone 4、4s��、5和5c
舊款iPhone機型提供密碼解鎖和圖像處理支持�����。
通過嘗試恢復原始的4位或6位PIN��,該工具包可用于解鎖受未知屏幕鎖定密碼保護的加密iPhone 4����、4s(1)����、5和5c設(shè)備�。在iPhone5和5c設(shè)備上,此DFU攻擊的速度為每秒13.6個密碼����,只需12分鐘即可解鎖受4位PIN保護的iPhone。6位PIN最多需要21小時����。智能攻擊將自動用于嘗試盡可能多地減少這一時間。在不到4分鐘的時間內(nèi)�����,該工具將嘗試數(shù)千個最常用的密碼�����,如000000��、123456或121212�����,然后根據(jù)出生日期嘗試6位PIN��。其中74000人�,智能攻擊大約需要1.5小時。如果仍不成功�����,則會啟動其余密碼的全部暴力�。(注意:iPhone 4上的密碼恢復速度為每秒6.6個密碼)。
舊版iOS設(shè)備(包括iPhone 4�����、4s(1)���、5和5c)可進行全面物理采集�。對于所有支持的模型��,Toolkit可以提取用戶分區(qū)的位精確圖像并解密密鑰鏈���。如果設(shè)備運行的是iOS 4到7��,則即使不破壞屏幕鎖定密碼也可以執(zhí)行成像��,而運行iOS 8到10的設(shè)備需要先破壞密碼����。對于所有支持的模型,Toolkit可以提取和解密用戶分區(qū)和密鑰鏈�。
(1) iPhone 4s、iPod Touch 5�、iPad 2和3設(shè)備可通過定制的flashed Raspberry Pi Pico板進行密碼解鎖和基于checkm8的取證,該板用于應(yīng)用漏洞攻擊��。固件映像隨iOS Forensic Toolkit提供���;未提供Pico板���。
擴展邏輯獲取
iOS Forensic Toolkit支持邏輯采集,與物理采集相比����,這是一種更簡單、更安全的采集方法�����。Logical acquisition對設(shè)備中存儲的信息進行標準iTunes風格的備份��,提取媒體和共享文件��,并提取系統(tǒng)崩潰日志�。雖然邏輯采集返回的信息少于物理采集,但建議專家在嘗試更具侵入性的采集技術(shù)之前創(chuàng)建設(shè)備的邏輯備份����。
我們始終建議將邏輯采集與物理采集相結(jié)合,以安全提取所有可能類型的證據(jù)�。
快速提取媒體文件,如相機卷�、書籍、語音記錄和iTunes媒體庫�����。與創(chuàng)建本地備份(這可能是一個冗長的操作)相反�,媒體提取可以在所有支持的設(shè)備上快速工作??梢允褂门鋵τ涗洠ㄦi定文件)從鎖定設(shè)備中提取。
除了媒體文件�,iOS Forensic Toolkit還可以提取多個應(yīng)用程序的崩潰/診斷日志和存儲文件,提取關(guān)鍵證據(jù)而無需越獄�����。提取Adobe Reader和Microsoft Office本地存儲的文檔、MiniKeePass密碼數(shù)據(jù)庫等�����。提取需要解鎖的設(shè)備或未過期的鎖定記錄�����。
無論硬件生成和越獄狀態(tài)如何��,邏輯采集都可用于所有設(shè)備�。冷啟動后,設(shè)備必須至少解鎖一次���;否則����,無法啟動設(shè)備備份服務(wù)���。
專家需要使用密碼或觸摸ID解鎖設(shè)備��,或使用從用戶計算機提取的未過期鎖定文件����。
如果設(shè)備配置為生成密碼保護的備份,專家必須使用Elcomsoft電話斷路器恢復密碼并刪除加密��。還需要Elcomsoft手機斷路器來查看鑰匙鏈記錄��。如果未設(shè)置備份密碼���,該工具將自動使用臨時密碼(“123”)配置系統(tǒng),以便能夠解密鑰匙鏈項目(密碼將在獲取后重置)��。
使用鎖定(配對)記錄���,即使在斷電或重新啟動后�,也可以從鎖定的iOS設(shè)備中提取信息��。以下矩陣適用于運行iOS 8及更高版本的設(shè)備:
|
|
基本設(shè)備信息
|
高級設(shè)備信息
|
應(yīng)用程序列表
|
媒體
|
iTunes風格備份
|
|
設(shè)備鎖定��,無鎖定記錄
|
是
|
否
|
否
|
否
|
否
|
|
設(shè)備重新啟動后從未解鎖�����,存在鎖定
|
是
|
是
|
否
|
否
|
否
|
|
設(shè)備重新啟動后解鎖���,存在鎖定
|
是
|
是
|
是
|
是
|
是
|
支持的設(shè)備和采集方法
iOS Forensic Toolkit實現(xiàn)了對從iPhone 5s到iPhone 13����、13 Pro、iPhone 13 mini和iPhone 13 Pro Max的越獄設(shè)備的物理獲取支持����。
以下兼容性矩陣適用:
- 密碼解鎖:通過DFU漏洞強行鎖定4位和6位屏幕密碼。所有iOS版本����,iPhone 4、4s����、5和5c設(shè)備。
- 傳統(tǒng)設(shè)備:iPhone 4�、4s、5和5c設(shè)備的位精確成像和解密�。
- 代理(無越獄):運行iOS 9到15.1.1的設(shè)備的完整文件系統(tǒng)提取和密鑰鏈解密(基于M1的iPad Pro 5的iOS 15.1)。相應(yīng)的iPad型號也包括在內(nèi)����。蘋果開發(fā)者注冊是必需的(Windows)/可選的(macOS)。
- 使用越獄:對運行任何版本的iOS的越獄設(shè)備進行物理收購��,可以使用越獄(iPhone 4s到iPhone 12 Pro Max,大多數(shù)iPad型號�,Apple TV 4和4K)。
- 通過Bootrom漏洞(checkm8):從iPhone 5s到iPhone X的取證文件系統(tǒng)和鑰匙鏈獲取
- 無越獄:邏輯獲取��、共享文件和媒體提取���,用于運行無越獄版本的iOS設(shè)備��。設(shè)備必須使用密碼、觸摸ID或鎖定記錄解鎖
執(zhí)行iPhone���、iPad和iPod Touch設(shè)備的物理和邏輯采集���。映像設(shè)備文件系統(tǒng),提取設(shè)備機密(密碼�����、加密密鑰和受保護數(shù)據(jù))并解密文件系統(tǒng)映像����。
兼容設(shè)備和平臺
- iPhone 4、5和5c:通過DFU解鎖密碼(僅適用于macOS版)
- iPhone 4�、4s��、5和5c:具有位精確成像和鑰匙鏈解密的物理采集(僅適用于macOS版)(iPhone 4s支持需要復盆子Pi Pico板)
- iPhone 5s���、6、6 Plus�����、6s����、6s Plus、SE(原版)���、7����、7 Plus�、8、8 Plus���、X:取證聲音檢查M8提?。▋H適用于macOS版)
- iPad 5��、6和7、iPad Mini 2�、3和4、iPad Air 1和2�����、iPad Pro 1和2���,iPod Touch 6和7���,以及Apple TV 4和4K:取證聲音檢查M8提取(僅適用于macOS版)
- 具有越獄功能的64位iOS設(shè)備:文件系統(tǒng)提取�、密鑰鏈解密
- 從iPhone 5s到iPhone X的BFU���、鎖定和禁用的iPhone型號的部分文件系統(tǒng)和鑰匙鏈獲取
- 蘋果電視4(有線連接)和蘋果電視4K(僅通過Xcode和Mac進行無線連接)
- 蘋果手表(各代)�;需要第三方IBUS適配器
- 無越獄:支持設(shè)備的基于代理的提?�?����;所有其他設(shè)備的高級邏輯采集
邏輯采集包括:
- 設(shè)備的擴展信息
- iTunes格式備份(包括許多鑰匙鏈項目)
- 已安裝應(yīng)用程序列表
- 媒體文件(即使備份受密碼保護)
- 共享文件(即使備份受密碼保護)
系統(tǒng)要求
Windows
Apple macOS
- macOS 10.13 High Sierra
- macOS 10.14 Mojave
- macOS 10.15 Catalina
- macOS 11 Big Sur
- macOS 12 Monterey
用于Windows的iOS Forensic Toolkit需要安裝最新版本的iTunes�����。macOS版本不保證在虛擬機或黑客電腦上工作。還請注意���,該產(chǎn)品的某些特定功能(傳統(tǒng)32位設(shè)備的物理購置��、使用非開發(fā)人員賬戶的代理安裝���、checkm8購置)僅在macOS版本中可用。
發(fā)行說明
Elcomsoft iOS Forensic Toolkit v.7.60
2022年8月25日
- 增加了對A11-A15和M1上iOS 15.2至15.3.1的支持(僅限完整文件系統(tǒng)����,目前無鑰匙鏈)
- 增加了對iOS 15.6.1的支持(僅測試版)
- 改進的Apple TV 4K固件處理(僅8 beta 13版本)
- 小的改進和錯誤修復
卸載過程:要卸載產(chǎn)品,請通過“控制面板-程序和功能”遵循標準過程��,或使用Windows“開始”菜單中產(chǎn)品文件夾中相應(yīng)的Uninstall鏈接����。
