iOS Forensic Toolkit для macOS, Windows и Linux: три редакции одного продукта

30 мая, 2024, Oleg Afonin
Рубрика: «Полезные советы», «Программное обеспечение»
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  

iOS Forensic Toolkit поставляется в трёх редакциях — для компьютеров с операционными системами macOS, Windows и Linux. Между тремя редакциями есть масса различий, и далеко не только функциональных. В этой статье мы расскажем, в чём разница между редакциями, какую редакцию стоит выбрать и почему.

macOS, Windows и Linux: три редакции одного продукта

iOS Forensic Toolkit — универсальный многоплатформенный инструмент, имеющий одинаковый интерфейс и почти одинаковые функции на разных платформах. Версия для macOS остаётся самой функциональной, версия для Linux ненамного отстаёт, а версия для Windows является наиболее ограниченной с функциональной точки зрения. Дело, однако, не только в функциях. Различаются системные требования (помимо очевидной поддержки платформы/ОС), удобство использования и совместимость. Начнём с сравнения функций, а затем поговорим обо всём остальном.

Сравнение возможностей

Между редакциями для Windows, Linux и macOS существуют важные различия, не ограничивающиеся лишь функционалом. Различаются способы установки и простота (или сложность) в использовании; совместимость (и мы сейчас не о совместимости платформ с разными версиями ОС) и даже требования к дополнительному оборудованию и программному обеспечению. Начнём, однако, со сравнения возможностей.

В редакции для Windows доступны функции логического и низкоуровневого извлечения посредством агента-экстрактора (последнее — только с использованием учётной записи разработчика); извлечение через эксплойт загрузчика не поддерживается. В версиях для Linux и macOS дополнительно поддерживается извлечение через эксплойт загрузчика, а версия для macOS остаётся единственной, в которой при извлечении данных агентом-экстрактором для установки агента можно использовать обычные учётные записи Apple ID, не зарегистрированные в программе Apple для разработчиков. Подробнее о различиях между версиями:

Функции macOS Windows Linux
Расширенная информация об устройстве
Логическое извлечение (резервная копия)
Извлечение медиафайлов и метаданных
Извлечение диагностических логов
Извлечение агентом с учётной записью разработчика
Извлечение агентом с обычной учётной записью
Извлечение через уязвимости загрузчика
Дополнительные сервисные возможности

Мы составили подробную инфографику, на которой различия видны невооружённым глазом.

Совместимость

Редакция для Windows работает как в Windows 10, так и в Windows 11 (на текущий момент — только на платформе Intel/AMD). Обратите внимание: для работы программы нужно, чтобы на компьютере была установлена программа iTunes (или приложение Apple Devices); нужно запустить iTunes/Apple Devices хотя бы раз после установки перед тем, как работать с iOS Forensic Toolkit (вам не нужно запускать их каждый раз при использовании инструментария; достаточно сделать это один раз сразу после установки, чтобы инициализировать всё необходимое для работы). В редакции для macOS и Linux дополнительных приложений не требуется.

Редакция macOS работает в macOS BigSur и более новых. Для macOS рекомендуем использовать компьютеры на платформе Apple Silicon, а не устаревшие компьютеры на процессорах Intel. Несмотря на эту рекомендацию, мы продолжаем поддерживать компьютеры Macs на процессорах Intel — для этого доступна специальная сборка, в названии которой присутствует слово «legacy». Обратите внимание: при использовании компьютеров с процессорами Intel иногда приходится повторно подключать устройство; эта проблема отсутствует в компьютерах с архитектурой Apple Silicon. Некоторые компьютеры поставляются только с портами Type-C; для них требуется докупить хаб USB-C to USB-A hub, через который будет подключаться лицензионный ключ iOS Forensic Toolkit, а также устройство (при работе с checkm8). Если компьютер оборудован единственным портом USB-С, то хаб должен поддерживать и зарядку.

Редакция для Linux протестирована в нескольких сборках Linux; официально поддерживаются актуальные дистрибутивы Debian, Ubuntu, Kali Linux, Mint и Astra. На сегодняшний день официально поддерживается только платформа Intel/AMD, но редакция для ARMv8, работающая на Raspberry Pi 5, уже доступна для тестирования.

USB-C: для работы инструментария понадобится несколько портов USB-A: один для лицензионного USB-ключа, ещё один — для работы с checkm8. Для работы с агентом и при логическом извлечении рекомендуем использовать порт USB-C. Наконец, ещё один порт USB-C может понадобиться на некоторых ноутбуков для подключения зарядного устройства.

Файловая система: если извлечённые данные планируется использовать на разных компьютеров, рекомендуем отформатировать внешний накопитель в exFAT, т.к. это единственная файловая система, официально поддерживаемая всеми тремя операционными системами.

Удобство использования

Все три редакции основаны на мощном интерфейсе командной строки (CLI), который не меняется от платформы к платформе. В то же время на удобство использования влияют и другие вещи.

Проще всего установить версию для Windows: в ней iOS Forensic Toolkit просто устанавливается и работает, как обычное приложение (не забудьте, однако, о требовании установки iTunes или Apple Devices). В процессе установки версии для Linux понадобится вручную доустановить зависимости, я версия для macOS потребует снятия флажка карантина.

Для установки агента-экстрактора рекомендуется использовать файрволл. В macOS его можно настроить программно специальным скриптом, а в редакциях для Linux и Windows нужно использовать альтернативный вариант файрволла с Raspberry Pi.

Надёжность работы

Редакция для Mac работает надёжнее других — частично за счёт более надёжных драйверов в macOS, частично за счёт встроенной поддержки некоторых форматов и протоколов в macOS, которые не поддерживаются штатным образом в других операционных системах.

Вышеописанные преимущества не относятся к использованию так называемых «хакинтошей» (Hackintosh). Несмотря на то, что в «хакинтошах» работает и подпись обычной учётной записью, и извлечение через checkm8, мы не даём никаких гарантий работоспособности нашего ПО в таких системах.

Заключение

Если в вашей лаборатории есть компьютер с macOS — используйте его. Если нет, рассмотрите возможность приобрести такой компьютер. Если такой возможности нет, используйте решение для Linux с поддержкой checkm8. Не обязательно даже выделять отдельный компьютер для работы с iOS Forensic Toolkit; мы работаем над версией для процессоров ARM (в частности, для платформы Raspberry Pi 5). Кроме того, в ближайшее время мы подробно документируем загрузочную среду, которая позволит запускать iOS Forensic Toolkit в редакции для Linux, просто загрузившись с внешнего накопителя. Сейчас загрузочная среда доступна всем зарегистрированным пользователям iOS Forensic Toolkit в Личном Кабинете на нашем сайте. Редакция для Linux не позволит установить агент-экстрактор; для работы с ним вам понадобится оформить подписку в программе Apple для разработчиков ежегодной стоимостью $99. Наконец, версия для Windows также может работать с агентом-экстрактором при условии подписки на программу для разработчиков, но не поддерживает извлечение через checkm8.

Наш репозитарий на GitHub

iOS Forensic Toolkit — комплексный продукт, в состав которого входит порядка восьми десятков проектов, многие из которых распространяются с открытым исходным кодом. Использование готовых пакетов позволило нам сократить время разработки; в свою очередь, мы опубликовали изменения в открытом исходном коде, которые мы внесли в процессе разработки. Наши проекты доступны в открытом доступе на GitHub:


  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  

REFERENCES:

Elcomsoft iOS Forensic Toolkit

Elcomsoft iOS Forensic Toolkit – специализированный инструмент для проведения криминалистического анализа устройств, работающих под управлением Apple iOS. Для анализа доступна вся пользовательская и системная информация, а также зашифрованные данные из системного хранилища (связка ключей).

Официальная страница Elcomsoft iOS Forensic Toolkit »

НАШИ НОВОСТИ