checkm8: Низкоуровневое извлечение через эксплойт загрузчика для пользователей Linux

30 ноября, 2023, Oleg Afonin
Рубрика: «Разное»
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  

В очередном обновлении iOS Forensic Toolkit инструментарий для мобильной криминалистики вышел в редакции для Linux. В новой редакции поддерживаются как логический анализ, так и все доступные низкоуровневые методы извлечения, включая извлечение через эксплойт загрузчика, для которого ранее требовался компьютер с macOS. Новая редакция для Linux функционально идентична самой продвинутой редакции iOS Forensic Toolkit для Mac — за единственным исключением.

Редакция для Linux

С выходом редакции для Linux извлечение через эксплойт загрузчика для многих поколений устройств от очень старых iPhone 3/3GS до iPhone 8, 8 Plus и iPhone X включительно становится более доступным. Основная ценность новой редакции — в поддержке извлечения через эксплойт загрузчика (в частности, checkm8). До выхода редакции для Linux криминалистически чистый вариант извлечения был доступен только тем экспертам, в распоряжении которых был компьютер Mac. Высокая стоимость и, как следствие, низкая распространённость техники Apple в правоохранительных органах ограничивали использование одного из самых продвинутых методов анализа.

Теперь для работы эксплойта достаточно использовать любой компьютер с архитектурой Intel, на который можно установить один из поддерживаемых дистрибутивов Linux. Для работы инструментария не требуются ни особая мощность процессора, ни большое количество оперативной памяти, ни тем более дорогостоящие графические ускорители; вполне достаточно конфигурации обычного офисного компьютера с единственным требованием: объём накопителя, на который будут сохраняться извлечённые из исследуемых устройств данные, должен быть достаточен для их хранения.

Совместимость и установка

Редакция для Linux поддерживается на компьютерах с архитектурой Intel под управлением Debian, Ubuntu, Kali Linux или Mint.

Установка редакции для Linux отличается от процедуры для компьютеров с Windows или macOS. Для установки с инструментария на компьютер с Linux нужно распаковать архив с паролем, ссылка на который предоставляется зарегистрированным пользователям, и перейти в папку с продуктом. После чего из папки, в которую установлен EIFT, нужно выполнить следующую команду, которая скачает и установит необходимых библиотеки:

sudo apt install ./com.elcomsoft.eift-dependency.deb

Обратите внимание: для скачивания библиотек компьютер должен быть подключён к интернету.

Сравнение возможностей редакций для разных платформ

Между редакциями для Windows, Linux и macOS существуют важные различия. В редакции для Windows доступны функции логического и низкоуровневого извлечения посредством агента-экстрактора; извлечение через эксплойт загрузчика не поддерживается. В версиях для Linux и macOS дополнительно поддерживается извлечение через эксплойт загрузчика, а версия для macOS остаётся единственной, в которой при извлечении данных агентом-экстрактором для установки агента можно использовать обычные учётные записи Apple ID, не зарегистрированные в программе Apple для разработчиков. Наконец, извлечение через эксплойт загрузчика для устройств под управлением iOS 16 на данный момент также поддерживается только в редакции для macOS. Подробнее о различиях между версиями:

Однозначная идентификация версии iOS через эксплойт загрузчика

Помимо версии для Linux, iOS Forensic Toolkit получил ещё одно важное обновление, которое упростит извлечение через эксплойт загрузчика.

В предыдущих версиях iOS Forensic Toolkit в процессе извлечения с использованием эксплойта checkm8 версия iOS, установленная на устройство, определялась по версии загрузчика iBoot. Такой метод не всегда выдавал однозначный результат; иногда инструментарий выводил список из нескольких версий системы (и, соответственно, несколько ссылок на скачивание прошивки), что усложняло последующие шаги.

В новой сборке инструментария нам удалось решить эту проблему. Теперь версия iOS, установленная на устройстве, определяется однозначно практически во всех случаях за редчайшими исключениями.

Интерфейс командной строки

В редакции для Linux используется интерфейс командной строки, привычный пользователям по ранее вышедшим версиям для macOS и Windows. Во всех редакциях инструментария используется один и тот же синтаксис и набор команд.

Наш репозитарий на GitHub

iOS Forensic Toolkit — сложный и мощный продукт, в состав которого входит порядка восьми десятков проектов, многие из которых распространяются с открытым исходным кодом. Использование готовых пакетов позволило нам сократить время разработки; в свою очередь, мы опубликовали изменения в открытом исходном коде, которые мы внесли в процессе разработки. Наши проекты доступны в открытом доступе на GitHub:

Поддержка iOS 17

Наконец, в новой версии инструментария появилась поддержка расширенного логического извлечения из устройств, работающих под управлением iOS 17.


  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  

REFERENCES:

Elcomsoft iOS Forensic Toolkit

Elcomsoft iOS Forensic Toolkit – специализированный инструмент для проведения криминалистического анализа устройств, работающих под управлением Apple iOS. Для анализа доступна вся пользовательская и системная информация, а также зашифрованные данные из системного хранилища (связка ключей).

Официальная страница Elcomsoft iOS Forensic Toolkit »

НАШИ НОВОСТИ