«   »

Установка агента-экстрактора: подробные инструкции

27 декабря, 2023, Oleg Afonin
Рубрика: «Разное»
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  

В настоящем руководстве приведены подробные инструкции по установке и настройке агента-экстрактора. Агент-экстрактор — составная часть iOS Forensic Toolkit, предназначенная для низкоуровневого доступа и извлечения образа файловой системы и связки ключей из совместимых устройств Apple.

Введение

К составлению подробного руководства нас побудили обращения нескольких пользователей, у которых возникали нетипичные проблемы при низкоуровневом извлечении с использованием агента-экстрактора. Проблемы выражались в невозможности снятия образа файловой системы после извлечения связки ключей: устройство спонтанно перезагружалось (kernel panic) либо просто разрывало связь с компьютером. Снова применить эксплойт не удавалось. Определить причину такого поведения было трудно, т.к. после kernel panic на устройстве не создавался (хоть и должен был) нужный журнал диагностики.

В конечном итоге нам удалось воспроизвести проблему и определить её причину: и отсутствие журнала диагностики, и проблемы с повторным применением эксплойта были связаны с откатом файловой системы после спонтанной перезагрузки, который операционная система производила, чтобы не допустить повреждений файловой системы. Поняв суть и причины проблемы, мы смогли разработать решение, позволяющее избежать подобных ситуаций.

Подготовка компьютера и общие требования

Перед началом работы убедитесь в выполнении следующих требований:

  • Дата и время на компьютере, выход в интернет: убедитесь, что дата и время на вашем компьютере соответствуют актуальным. Кроме того, убедитесь, что компьютер имеет выход в интернет.
  • Обычные учётные записи Apple: обычные (не зарегистрированные в программе Apple для разработчиков) учётные записи Apple ID можно использовать для подписи агента только на компьютерах с macOS. Соответственно, если у вас нет учётной записи разработчика, для работы понадобится редакция iOS Forensic Toolkit для Mac.
  • Привязка до установки агента: убедитесь, что доверенные отношения (привязка устройства к компьютеру) установлены до установки агента.
  • Кабель USB-C: рекомендуем использовать кабель с коннектором USB Type-C. Тип кабеля не особо критичен в процессе установки и подписи агента, но важен для последующего извлечения.

Подготовка устройства

Перед тем, как приступить к установке агента, убедитесь, что устройство имеет достаточный уровень заряда и корректные настройки даты и времени.

  • Проверьте дату и время на телефоне
    • Дата и время на телефоне должны совпадать с актуальными. Если это не так, измените дату и время вручную в настройках устройства. Это необходимо для корректной установки агента и проверки цифровой подписи.

Установка агента на устройство

На следующем шаге установите приложение агента на устройство — но пока не запускайте его.

  • Установите агент-экстрактор (не запускайте его)
    • установите приложение агента на устройство; на данном этапе не запускайте его.
  • Перезагрузите телефон
    • Осуществите штатную перезагрузку телефона (штатное отключение и перезагрузка).

Для чего нужна перезагрузка: если вы установите и запустите приложение агента-экстрактора, не перезагрузив предварительно телефон, то в случае возникновения ситуации kernel panic и спонтанной перезагрузки устройства могут возникнуть повреждения файловой системы, после чего операционная система откатит файловую систему в «чистое» состояние. В результате отката могут пропасть записи сопряжения телефона и/или повредиться уже установленное приложение агента-экстрактора, что, в свою очередь, потребует его переустановки.

Настройки и файрволл

В зависимости от типа учётной записи Apple ID, которая используется для подписи приложения агента, перед запуском агента может понадобиться верифицировать цифровую подпись приложения. Для этого устройству необходимо связаться с сертифицирующим сервером Apple, для чего, в свою очередь, устройству потребуется доступ в интернет. Выход в интернет несёт сопутствующие риски, которые желательно уменьшить, использовав аппаратный или программный файрволл..

Внимание: этот раздел относится к ситуации, когда для запуска агента требуется подтвердить цифровую подпись. При использовании некоторых видов учётных записей разработчика проверка не нужна; в таком случае пропустите этот раздел.

  • Подключите устройство к программному или аппаратному файрволлу
  • Проверьте цифровую подпись приложения агента
    • Откройте настройки и перейдите в пункт «Настройки -> Основные -> VPN и управление устройством.»
    • Проверьте цифровую подпись агента. Не запускайте приложение агента-экстрактора; на этом шаге проверяется подпись приложения.
  • Перезапустите телефон (второй раз)
    • Снова перезапустите телефон штатным образом.
  • Запустите приложение агента на телефоне
    • Коснитесь иконки установленного на телефон приложения агента-экстрактора, чтобы запустить его. Если появится запрос на включение режима разработчика, см. следующие шаги.
  • Включите режим разработчика (если он будет запрошен)
    • Перейдите «Настройки -> Конфиденциальность и безопасность -> Режим разработчика.»
    • Включите режим разработчика (может потребоваться очередная перезагрузка телефона).
  • Убедитесь, что режим разработчика активирован (если он был запрошен):
    • После перезагрузки, снова перейдите в настройки режима разработчика и убедитесь, что этот режим активирован.

Использование агента

На этом этапе приложение агента можно запустить.

  • Запустите приложение агента
    • Запустите агента, коснувшись его иконки на телефоне.
  • Отключите устройство от файрволла (если он использовался) и подключите к компьютеру
    • Если вы использовали аппаратный файрволл, отключите от него телефон и подключите к компьютеру.
  • Запустите EIFT и следуйте инструкциям из руководства по эксплуатации
    • На компьютере запустите iOS Forensic Toolkit. Дальнейшие шаги описаны в руководстве по эксплуатации к инструментарию.

Заметки и рекомендации

  • Влияние спонтанных перезагрузок на целостность файловой системы 
    • Нештатные перезагрузки (ошибка device panic) могут привести к повреждениям файловой системы. Чтобы восстановить её целостность, операционная система может откатить файловую систему к предыдущему состоянию.
  • Влияние отката файловой системы на работу агента-экстрактора
    • Результатом отката файловой системы может стать неработоспособность агента и/или исчезновение ранее установленной привязки к компьютеру. Избежать этой ситуации помогут промежуточные штатные перезагрузки устройства.
  • Переустановка агента
    • Если ситуация с откатом файловой системы всё же возникла, вам может потребоваться заново привязать устройство к компьютеру и/или переустановить агента.

Инструкции в этом руководстве получены в результате работы с конкретными устройствами и версиями операционных систем. В других условиях результат может отличаться.

Финальные заметки

Если не следовать описанной выше инструкции, вы можете столкнуться с такими симптомами: агент запускается, эксплойт применяется успешно, связка ключей — извлекается, а на этапе извлечения файловой системы возникает ошибка.

Также напомним, что в последних версиях инструментария в качестве параметра после команды keychain/tar в опции «-o» указывается не имя файла, а путь к папке; имена файлов присваиваются автоматически на основе UDID устройства и текущих даты и времени.

Наконец, нужно упомянуть, что образ файловой  системы и связку ключей можно загрузить для последующего анализа в программный пакет  Cellebrite Physical Analyzer, о чём мы напишем отдельную статью.


  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  

REFERENCES:

Elcomsoft iOS Forensic Toolkit

Elcomsoft iOS Forensic Toolkit – специализированный инструмент для проведения криминалистического анализа устройств, работающих под управлением Apple iOS. Для анализа доступна вся пользовательская и системная информация, а также зашифрованные данные из системного хранилища (связка ключей).

Официальная страница Elcomsoft iOS Forensic Toolkit »

НАШИ НОВОСТИ
«   »