Расширенное логическое извлечение — универсальный способ доступа к данным, который работает для всех поколений смартфонов и планшетов Apple независимо от запущенной версии ОС. В предыдущих версиях iOS Forensic Toolkit процесс извлечения был реализован в полуавтоматическом режиме, но переход на командную строку в восьмой версии инструментария потребовал нового подхода. В этой статье подробно описаны шаги, необходимые для расширенного логического анализа устройств iPhone и iPad.

Что такое расширенное логическое извлечение?

Расширенный логический анализ (или расширенное логическое извлечение) – неофициальное название для набора способов извлечения данных, доступного для всех устройств iPhone, iPad и iPod Touch. В набор методов, использующихся в процессе расширенного логического анализа, входит извлечение из устройства локальной резервной копии, медиа-файлов, файлов приложений, а также некоторых системных журналов. Логическим анализом можно воспользоваться независимо от установленной версии iOS. Этот способ доступен для устройств, экран которых уже разблокирован или может быть разблокирован. Для сопряжения устройства с компьютером потребуется указать код блокировки экрана.

Один из основных методов, использующихся при логическом анализе — извлечение резервной копии устройства. В iOS и iPadOS на резервные копии может быть установлен пароль, посредством которого содержимое резервной копии шифруется. В таких зашифрованных резервных копиях доступно больше данных, чем в резервных копиях без пароля. По этой причине современные программы для криминалистов пытаются автоматически установить на резервную копию временный пароль (при использовании iOS Forensic Toolkit такой пароль — 123). После окончания работы пароль необходимо сбросить в начальное (пустое) состояние, что обычно и проделывается программой. Если же этого не произошло, то на устройстве остаётся временный пароль, который может помешать исследованию устройства в будущем. Подробнее об этом — в статье Резервные копии iOS: забытые временные пароли.

Внимание: в процессе смены пароля к резервной копии на экране устройства может возникнуть запрос кода блокировки экрана. Если он известен, введите его в окне запроса.

В процессе расширенного логического анализа дополнительно извлекаются медиа-файлы (фотографии, видеоролики и метаданные к ним), некоторые журналы диагностики и файлы приложений. Подробнее о методе можно узнать из наших статей:

• Логический анализ iOS: когда нужно ещё немного усилий
• Логический анализ iPhone: резервные копии iTunes

Инструкция по расширенному логическому извлечению

Для расширенного логического извлечения используется инструментарий iOS Forensic Toolkit. В процессе работы извлекаются такие данные, как связка ключей, медиа-файлы, файлы приложений, некоторые системные журналы; создаётся резервная копия устройства.

1. Подключите iPhone к компьютеру
2. При подключении устройства к компьютеру автоматически выводится запрос на привязку устройства. Для привязки устройства к компьютеру на устройстве потребуется подтвердить запрос и ввести код блокировки экрана. Если по какой-либо причине привязки не произошло или она не сработала, привязать устройство к компьютеру можно вручную, выполнив команду:

   ./EIFT_cmd normal pair

   Далее подтвердите запрос Trust this computer? на телефоне

3. Для подтверждения запроса нужно ввести код блокировки; если код блокировки не установлен, то система не станет его запрашивать
4. Извлеките основную или расширенную информацию об устройстве. Для извлечения только основной информации используйте следующую команду:

   ./EIFT_cmd info

   Расширенную информацию можно извлечь следующей командой:

   ./EIFT_cmd info -a

   В состав расширенной информации входят листинги в формате XML, в которых содержатся многочисленные записи о настройках устройства, а также список установленных на устройстве приложений с детализацией по дате и времени установки, путям к файлам и прочим данным. Для сохранения в файл используйте переадресацию вывода. Если это сделать, то работу ко-манды через какое-то время придётся прервать вручную комбинацией клавиш Ctrl-C:

   ./EIFT_cmd info -a > info.txt

5. Проверьте, установлен ли пароль на резервную копию. Для этого выполните следующую команду:

   ./EIFT_cmd normal backuppwcheck

   Если используется запись pairing record, то укажите путь к файлу в параметре командной строки (в дальнейшем мы будем опускать этот момент, но не забывайте использовать параметр -r и путь к файлу pairing record, если используется данный способ авторизацииы):

   ./EIFT_cmd normal backuppwcheck -r record.plist

   Далее ознакомьтесь со следующим листингом:

   Started logging Thread!
   Got device:
   Mode: [normal]
   BuildVersion: 16H50 
   DeviceName: iPhone 
   HardwareModel: N53AP 
   Paired: YES 
   PasswordProtected: NO
   ProductName: iPhone OS 
   ProductType: iPhone6,2 
   ProductVersion: 5.4
   SerialNumber: <serial number> udid: <udid>
   Loading custom record from=record.plist 
   Checking backup password...
   Backup password is DISABLED 
   Done

6. Если пароль на резервную копию установлен, рекомендуем прежде создать резервную копию «как есть», после чего извлечь все последующие данные (медиа-файлы, файлы приложений и системные журналы). Только после этого на устройствах, работающих на iOS 11 и более новых версиях, вы можете попытаться сбросить пароль резервной копии (обратите внимание на связанные с этим риски; сброс настроек рекомендуем делать лишь в крайнем случае). Чтобы сбросить пароль, «на устройстве iOS выберите «Настройки» > «Основные» > «Сброс». Нажмите «Сбросить все настройки» и введите пароль ОС iOS. Следуйте инструкциям по сбросу настроек. Это не затронет данные или пароли пользователей, но приведет к сбросу таких настроек, как уровень яркости дисплея, позиции программ на экране «Домой» и обои. Пароль для шифрования резервных копий также будет удален.» (Apple)
7. (необязательный шаг) Если пароль на резервную копию пуст, вы можете самостоятельно установить временный пароль на резервную копию. Данный шаг опционален: если вы этого не сделаете, iOS Forensic Toolkit автоматически установит временный пароль «123», который будет снят автоматически по окончании создания резервной копии. В любом случае на устройстве будет запрошен код блокировки экрана; обязательно введите его, т.к. запрос будет убран с экрана спустя короткое время. Пароль можно задать следующей командой:

   ./EIFT_cmd normal backuppwset -p "123"

8. Далее создайте резервную копию (последний параметр указывает текущий каталог в качестве папки для сохранения резервной копии). Обратите внимание: если пароль на резервную копию пуст, инструментарий попытается установить временный пароль «123»,  в результате чего на устройстве будет запрошен код блокировки экрана; обязательно введите его, т.к. запрос пропадает с экрана спустя короткое время:

   ./EIFT_cmd normal backup -o ./

   Резервную копию большого размера может потребоваться создать на внешнем диске. В этом случае формат команды будет такой:

   ../EIFT_cmd normal backup -o /Volumes/DISKNAME

   Где DISKNAME — название диска из Finder. Резервная копия состоит из множества файлов, но для последующей атаки на пароль, если она проводится, необходим единственный файл manifest.plist.

9. Если на шаге 7 вы самостоятельно установили временный пароль к резервной копии, снимите его, указав в одном из параметров ранее установленный временный пароль (в данном случае – 123). Если же пароль был установлен инструментарием автоматически, то и снят он будет также автоматически. Однако для снятия пароля с резервной копии на устройстве требуется ввести код блокировки экрана, причём запрос на ввод кода блокировки отображается в течение ограниченного времени. Если пропустить этот запрос, создание резервной копии завершится, но временный пароль на устройстве — останется. В этом случае вам понадобится снять этот пароль в ручном режиме. Чтобы снять пароль к резервной копии, используйте следующую команду (на устройстве будет запрошен код блокировки экрана); напомним, автоматически устанавливаемый временный пароль – 123:

   ./EIFT_cmd normal backuppwunset -p "123"

10. Извлеките медиа-файлы по протоколу afc. В отличие от резервных копий, данный протокол работает и для Apple TV и Apple Watch; он не может быть защищён паролем, т.к. медиа хранятся в папке, которая доступна всегда. Кроме того, помимо самих фото и видео, по протоколу afc извлекается ряд ценных метаданных.

    ./EIFT_cmd normal dumpafc -o afcdump.tar

    Если файл сохраняется в другую папку или на другой диск, формат команды будет следующим (также и для последующих команд):

    ./EIFT_cmd normal dumpafc -o /Volumes/DISKNAME/afcdump.tar

11. На iPhone сгенерируйте журнал системной диагностики (sysdiagnose), одновременно зажав кнопки Vol+, Vol- и кнопку питания. Удерживайте кнопки 250мс, после чего подождите некоторое время (до 5 минут).
12. Копирование системных журналов об ошибках:

    ./EIFT_cmd normal dumpcrash -o crashlogs.tar

13. Следующая команда сохранит все совместно-используемые файлы приложений в файле container.tar:

    ./EIFT_cmd normal dumpshared -o container.tar

Расшифруйте резервную копию (напоминаем, используйте временный пароль) или откройте её в приложении для анализа Elcomsoft Phone Viewer, указав временный пароль (в данном примере – 123).

TL&DR

В большинстве случаев вам надо выполнить следующие команды:

./EIFT_cmd info
./EIFT_cmd normal backup -o ./
./EIFT_cmd normal dumpafc -o afcdump.tar
./EIFT_cmd normal dumpcrash -o crashlogs.tar
./EIFT_cmd normal dumpshared -o container.tar

Депонированные ключи (файлы lockdown)

Депонированные ключи, также известные как файлы lockdown, создаются во время сопряжения устройства с компьютером. Депонированные ключи позволяют компьютеру автоматически получить доступ к iPhone при подключении без дополнительных запросов. Благодаря депонированным ключам пользователю не нужно каждый раз разблокировать телефон при подключении его к компьютеру для синхронизации или создания резервной копии. Депонированные ключи можно использовать в криминалистическом анализе для того, чтобы получить возможность извлечения данных из iPhone, когда телефон заблокирован.

В настоящее время возможность использования депонированных ключей с целью криминалистического анализа ограничена. С их помощью можно подключиться лишь к такому телефону, который не находится в защитном режиме USB, а сами записи достаточно быстро устаревают.

Депонированные ключи хранятся в следующих папках.

Windows Vista, 7, 8, 8.1, Windows 10 и 11:

%ProgramData%\Apple\Lockdown

Windows XP:

%AllUsersProfile%\Application Data\Apple\Lockdown

macOS:

/var/db/lockdown

В macOS Sierra папка с депонированными ключами доступна только с правами суперпользователя (для их извлечения потребуется ввести пароль). Права доступа можно получить следующей командой, выполненной в окне терминала:

sudo chmod 755 /private/var/db/lockdown

Это ограничение легко обходится при анализе образа диска. В более новых версиях macOS защита была усилена. Теперь для доступа к депонированным ключам потребуется проделать дополнительные манипуляции, связанные с необходимостью отключения SIP (System Integrity Protection). Для этого нужно загрузить компьютер с macOS в режим Recovery (⌘+R во время загрузки системы), после чего выполнить в терминале следующую команду:

csrutil disable

Далее компьютер нужно перезагрузить, после чего выполнить указанную ранее команду для выдачи прав доступа. Ещё раз напомним, что всего этого можно избежать, если анализируется образ диска.

Если используется файл с депонированным ключом, то путь к нему в iOS Forensic Toolkit нужно добавлять в качестве параметра командной строки при выполнении каждой команды. Обратите внимание: идентификатор устройства и UDID из файла lockdown должны совпадать. При использовании депонированных ключей используется следующий формат строки:

./EIFT_cmd info -r record.plist

Здесь «record.plist» — путь к файлу с депонированными ключами. Если один файл не сработал, вы можете попробовать другой файл из папки с ключами (при условии совпадения идентификаторов UDID). Если же не сработал ни один из файлов, то, возможно, депонированные ключи более недействительны, и использовать их для извлечения данных не удастся. В этом случае вам придётся установить сопряжение между устройством и компьютером штатным образом, для чего может потребоваться ввести код блокировки экрана.