Способов извлечения данных из устройств Apple — множество, и чем старше устройство и/или установленная на нём версия операционной системы, тем больше вариантов доступно эксперту-криминалисту. Как правильно выбрать способ извлечения данных из iPhone, iPad, Apple TV или Apple Watch и что делать, если доступных способов несколько?
За последние годы компания Apple выпустила большое число моделей устройств, многие из которых до сих пор активно используются их владельцами несмотря на возраст. И если для устройств, выпущенных в последние пять лет и работающих под управлением последних версий iOS, доступен только логический анализ, который в принципе доступен для всех моделей и версий iOS, то для более старых платформ и версий iOS, что называется, «есть варианты». Для старых платформ и не самых свежих, но относительно недавних версий ОС могут быть доступны низкоуровневые методы извлечения – такие, как эксплойт загрузчика checkm8 и агент-экстрактор. Чтобы определить, какие методы доступны для исследуемого устройства, воспользуйтесь следующей таблицей:
Внимание:
Выбор последовательности, в которой будут использованы различные методы извлечения, критически важен для обеспечения криминалистической чистоты анализа и извлечения максимального количества данных. Рекомендуем следующую последовательность действий.
Обратите внимание: логический анализ доступен для всех поколений устройств и всех поддерживаемых версий iOS.
Для старых устройств, для которых доступно извлечение посредством checkm8 (в список входят iPhone до линейки iPhone 8/8 Plus/iPhone X, а также планшеты, часы и телеприставки, собранные на чипах с соответствующей уязвимостью):
Как это сделать? Извлечение данных из iPhone и iPad посредством checkm8: шпаргалка
Доступ к данным через эксплойт загрузчика обладает идеальной криминалистической чистотой. В нашей реализации и при корректном использовании метода все данные на устройстве остаются неизменными, а результаты последующих сессий будут идентичны самому первому извлечению. Если для устройства доступен checkm8, использовать какие-либо альтернативные способы анализа не имеет большого смысла: все другие способы извлекут столько же или меньше данных, а содержимое раздела данных будет неизбежно модифицировано.
Для устройств, для которых не доступен checkm8, но доступно извлечение посредством агента-экстрактора (на данный момент это устройства под управлением iOS/iPadOS 9.0 — 15.3.1):
Агент-экстрактор — мощный инструмент для извлечения данных из поддерживаемых устройств, позволяющий получить образ файловой системы, а для ряда устройств — и расшифрованную копию связки ключей. Агент-экстрактор использует чисто программные уязвимости на уровне операционной системы; он может быть запущен на устройстве любого поколения, если на нём установлена совместимая версия ОС.
Для всех остальных устройств, для которых не доступны ни checkm8, ни агент-экстрактор, используйте следующую последовательность:
Как это сделать? Расширенное логическое извлечение в iOS Forensic Toolkit 8: шпаргалка
При исследовании техники Apple важно точно понимать, какие способы доступа к данным доступны для конкретного устройства, к каким последствиям приведёт их использование и в каком порядке их нужно использовать. В этой статье мы постарались изложить наше взгляд на проблему.
Производительное решение для восстановление паролей к десяткам форматов файлов, документов, ключей и сертификатов. Аппаратное ускорение с использованием потребительских видеокарт и лёгкое масштабирование до 10,000 рабочих станций делают решение Элкомсофт оптимальным для исследовательских лабораторий и государственных агентств.
Официальная страница Elcomsoft Distributed Password Recovery »
Elcomsoft iOS Forensic Toolkit – специализированный инструмент для проведения криминалистического анализа устройств, работающих под управлением Apple iOS. Для анализа доступна вся пользовательская и системная информация, а также зашифрованные данные из системного хранилища (связка ключей).
Инструмент для криминалистов, извлекающий и расшифровывающий данные из резервных копий устройств iOS, Windows Phone и BlackBerry и соответствующих облачных сервисов. Доступ в iCloud по паролю либо маркеру аутентификации, извлечённому из компьютера пользователя. Поддержка двухфакторной аутентификации. Расшифровка Keychain и ускорение перебора паролей на видеокартах AMD и NVIDIA. Словарные атаки для ускоренного восстановления паролей.