Пользователи iOS Forensic Toolkit регулярно сталкиваются с проблемами при установке и использовании агента-экстрактора, необходимого для низкоуровневого извлечения образа файловой системы устройств под управлением iOS. Мы накопили достаточную статистику обращений в службу поддержки, классифицировали проблемы и публикуем готовые решения.
Несмотря на то, что агент-экстрактор — технически сложный продукт, использующий недокументированные особенности и уязвимости для повышения уровня привилегий в мобильных ОС Apple, речь пойдёт не об используемых эксплойтах и поддерживаемых или не поддерживаемых версий iOS. Сегодня мы поговорим о том, что делать в случаях, когда эксперту не удаётся установить агент или агент не работает несмотря на то, что на устройстве установлена поддерживаемая версия ОС.
Большая часть возникающих проблем удаётся решить, ответив на следующие вопросы:
Типичны две основные ошибки:
Перед тем, как приступить к установке агента на устройство, критически важно сделать следующие проверки:
Проверить версию iOS
Агент-экстрактор поддерживает широкий, но не бесконечный ряд версий iOS. Перед началом работы убедитесь, что агент-экстрактор установленной на вашем компьютере версии iOS Forensic Toolkit поддерживает версию iOS, установленную на целевом устройстве.
Важно: мы постоянно работаем над расширением списка версий iOS, поддерживаемых агентом-экстрактором. Если установленная на устройстве версия iOS не поддерживается имеющейся в вашем распоряжении версией агента-экстрактора, возможно, вам потребуется установить обновление iOS Forensic Toolkit.
Проверить дату и время на целевом устройстве
Недостаточно проверить только текущее время; обязательно убедитесь, что не только время, но и день/месяц/год соответствуют текущему значению. Почему это важно: операционная система устройства должна корректно верифицировать сертификат цифровой подписи, который будет передан с сервера Apple; верификация включает проверку срока действия сертификата. Если время/дата не совпадают, то проверка не будет пройдена.
Решение: установить корректные дату и время в настройках устройства.
Убедитесь в корректном сопряжении устройства с компьютером
Чтобы убедиться, что сопряжение устройства с компьютером корректно установлено, последовательно выполните команды:
EIFT_cmd normal unpair EIFT_cmd normal pair
Внимание: не забудьте отключить раздачу интернета после подписи агента!
Если вы забудете отключить раздачу интернета с компьютера после подписи агента на целевом устройстве, возможна потеря данных в результате получения команды на удалённую блокировку или удалённый сброс устройства в процессе работы.
Не используйте VPN или прокси-сервер в процессе подписи агента
В процессе цифровой подписи агента-экстрактора на компьютере не должно быть активных VPN соединений или прокси.
Используйте кабели USB Type-C — Lightning
В отличие от извлечения посредством checkm8, для которого нужен кабель USB-A — Lightning, извлечение посредством агента-экстрактора может работать быстрее и надёжнее при использовании сертифицированного кабеля USB-C — Lightning.
В этом разделе собраны решения типичных проблем, возникающих в процессе установки и использования агента-экстрактора.
При попытке запустить EIFT на компьютере возникают ошибки «недостаточно прав доступа»
Причин возникновения этой ошибки может быть несколько:
При попытка запустить скрипт файрволла возникают ошибки «не найдено» или «не хватает прав»
Алгоритм решения этой проблемы совпадает с ранее описанным:
Не удаётся настроить раздачу (sharing) интернета
Файрволл запустился, тесты проходят, но установить агент на целевом устройстве не удаётся
Файрволл запустился, тесты проходят, но на целевом устройстве не срабатывает подпись агента
Недостаточно места на целевом диске либо внешний носитель отформатирован в FAT32
В первом случае рекомендуем использовать внешний носитель. В то же время убедитесь, что внешний носитель отформатирован в файловой системе, отличной от FAT32 — в последней невозможно создание файлов размером более 4ГБ, а образ файловой системы практически любого устройства превышает этот размер.
Попытка извлечения, агент не запущен либо работает в фоновом режиме
Агент-экстрактор должен быть запущен и работать в активном режиме
Часто встречающаяся ошибка — попытка извлечения данных из устройства, на котором установлено, но не запущено приложение агента-экстрактора. Другая ошибка — попытка извлечения при работе агента-экстрактора в фоновом режиме.
Решение: агент-эсктрастор должен быть запущен в качестве активного приложения.
Не отключены все беспроводные сети
Первое, что следует сделать при работе с целевым устройством — активировать режим «в полёте». Однако этого недостаточно: после активации режима «в полёте» необходимо также проверить состояние переключателей Bluetooth и Wi-Fi, которые также необходимо отключить. Это связано с тем, что iOS запоминает положение этих переключателей с момента предыдущей активации «полётного» режима. Если пользователь использовал Wi-Fi или Bluetooth, то эти сети не будут деактивированы даже при включении авиарежима.
Неудачная попытка эксплойта с ошибкой «All exploits failed»
Одна из самых распространённых причин этой ошибки — недостаточная или слишком длинная пауза после загрузки или перезагрузки устройства.
Эксплойты, применяемы в агенте, чувствительны ко времени. Для некоторых версий версий iOS желательно после любой перезагрузки подождать не более 10 секунд прежде чем запустить агента и начать извлечение. В то же время для iOS 16 рекомендуется подождать около минуты, чтобы все низкоуровневые процессы успели стабилизироваться. Точно указать время ожидания для каждой версии iOS трудно, поэтому в случае возникновения проблем с эксплойтом имеет смысл пробовать как короткие, так и более длинные паузы.
Обратите внимание, что слишком долгие паузы также могут привести к неработоспособности эксплойтов. Если устройство проработало несколько дней, большинство эксплойтов не установится. В этом случае перегрузите устройство и повторите попытку. В отдельных случаях может потребоваться до 5 попыток, перемежающихся перезагрузками.
Решение: перегрузить устройство и подождать от 10 секунд до 1 минуты.
Если не помогает ни одно из описанных выше решений, рекомендуем воспользоваться описанным ниже алгоритмом, который позволяет определить точку возникновения проблемы.
Внимание: для отработки описанных ниже шагов используйте тестовое, а не исследуемое (целевое) устройство!
Elcomsoft iOS Forensic Toolkit – специализированный инструмент для проведения криминалистического анализа устройств, работающих под управлением Apple iOS. Для анализа доступна вся пользовательская и системная информация, а также зашифрованные данные из системного хранилища (связка ключей).