В обновлении iOS Forensic Toolkit у пользователей Windows появилась возможность монтировать образы данных в формате HFS, извлечённые из 32-разрядных устройств Apple в рамках низкоуровневого анализа. Новая возможность позволит экспертам-криминалистам, использующим компьютеры с Windows, получить полный доступ к файловой системе путём монтирования образов разделов HFS.

Для чего это нужно

Метод низкоуровневого извлечения Perfect HFS Acquisition, доступный для 32-разрядных устройств Apple, поддерживает широкий диапазон аппаратных устройств и версий iOS. Посредством этого метода из устройства извлекается полный и точный образ раздела данных в его оригинальном, зашифрованном, виде. Расшифровать образ можно при помощи ключей, которые также извлекаются в процессе анализа.

Извлечённый образ сохраняется в формате DMG; используемая файловая система — HFS, предшественница APFS, которая используется в актуальных устройствах Apple. И если у пользователей macOS не возникает проблем с монтированием таких образов, то у экспертов, использующих для анализа компьютеры под управлением Windows, такая возможность отсутствует.

Возможность анализа образов DMG с файловой системой HFS присутствует далеко не во всех популярных пакетах для криминалистов; в то же время пройтись по папкам и файлам уже смонтированного образа может практически любой инструмент. В частности, популярнейший продукт Cellebrite, доступный для Windows, но не в macOS, имеет некоторые ограничения при работе с такими образами. До сих пор пользователи были вынуждены устанавливать сторонние платные утилиты — например, продукт Paragon HFS+ for Windows, HFSExplorer или DMGExtractor. С выходом новой версии iOS Forensic Toolkit необходимость в сторонних инструментах отпала.

Как это работает

Для монтирования образов HFS мы лицензировали продукт WinFsp. В отличие от большинства коммерческих инструментов, WinFsp не является готовым продуктом, доступным для конечных пользователей. В состав продукта входит ряд библиотек с открытым исходным кодом. Установщик WinFsp вошёл в состав iOS Forensic Toolkit. Его установка опциональна и осуществляется вручную из папки, в которую будет установлен EIFT. Если вы не станете устанавливать WinFsp, то возможность монтирования образов HFS на Windows останется недоступной. Отметим, что на компьютерах Mac поддержка образов DMG и файловой системы HFS встроена. Для компьютеров Linux доступна аналогичная функция, для работы которой может потребоваться доустановить библиотеку libfuse.

Режим «только для чтения»

Важно отметить, что iOS Forensic Toolkit принципиально монтирует образы HFS в режиме «только для чтения». С одной стороны, только такой режим гарантирует неизменность извлечённых данных; с другой — некоторые инструменты для анализа баз данных в формате SQLite в таком режиме не смогут открыть базу данных. Это связано с тем, что многие редакторы SQLite пытаются создавать временные файлы в той же папке, в которой хранится основная база. Эта проблема обходится либо использованием специализированных криминалистических пакетов, либо копированием заинтересовавшей базы данных в отдельную папку на компьютере эксперта.

Инструкции

Для монтирования образа HFS можно воспользоваться одним из двух способов — в зависимости от того, оригинальный (зашифрованный) или уже расшифрованный образ вы пытаетесь монтировать.

Для монтирования оригинального (зашифрованного) образа используйте следующую команду:

eift_cmd hfstool --mount -i data.dmg -k keys.plist

Обратите внимание, что требуется указывать полные пути к файлам DMG и файлу с ключами. Если EIFT запускается из той же папки, в которой находятся образ и ключи, то достаточно указать только имена файлов. О том, как извлечь ключи шифрования и сам образ, читайте в статье Perfect Acquisition Part 4: The Practical Part.

Если же образ уже расшифрован, достаточно такой команды:

eift_cmd hfstool --mount -i data_dec.dmg

В результате выполнения одной из этих команд вы увидите информацию подобного вида (здесь Mounted Data as G: — буква диска, в котором будет отображаться монтируемый образ):

ВНИМАНИЕ: не закрывайте это окно до окончания работы с образом! При закрытии окна или прерывании работы EIFT сочетанием клавиш Ctrl+C образ будет автоматически размонтирован.

Смонтированная файловая система выглядит следующим образом:

Совместимость

iOS Forensic Toolkit поддерживает следующие версии iOS и аппаратного обеспечения (обратите внимание: для устройств, перечисленных в таблице, создание монтирование образов HFS не поддерживается):

Заключение

В обновлённую версию iOS Forensic Toolkit вошёл новый функционал, способный упростить анализ извлечённых из старых устройств Apple данных на компьютерах с Windows. Важность новой функции в том, что она позволяет исследовать извлечённые данные даже в тех криминалистических пакетах, которые не распознают формат DMG с файловой системой HFS или поддерживают их не полностью (как это делает, например, продукт Cellebrite). Кроме того, новая функция помогает решить проблему относительно слабой доступности криминалистических инструментов для анализа данных в macOS, для которой монтирование образов HFS доступно встроенными средствами операционной системы.