Логический анализ iPhone: резервные копии iTunes

26 октября, 2020, Oleg Afonin
Рубрика: «Разное»
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  

Резервные копии в формате iTunes — краеугольный камень в процессе логического анализа устройств под управлением iOS и iPadOS. В резервные копии попадает огромное количество информации. В то же время на их содержимое влияет целый ряд неучтённых и слабо документированных факторов. Что делать, если резервная копия защищена паролем? Повлияет ли сброс пароля на содержимое резервной копии? Почему в резервную копию не попали фотографии с телефона, и как можно до них добраться? Обо всём этом и многом другом — в этой статье.

В приложении Apple iTunes есть возможность создания резервных копий устройств под управлением iOS и iPadOS, включая модели iPhone, iPad и iPod Touch. Механизма для создания резервных копий для Apple TV не предусмотрено, а резервные копии часов Apple Watch создаются в резервных копиях iPhone, к которому привязаны часы. Содержимое резервных копий может меняться в зависимости от типа и модели устройства, настроек синхронизации iCloud (например, в состав резервной копии могут не попадать фотографии, если пользователь настроил их синхронизацию в облако), а также от версии iOS/iPadOS, под управлением которой оно работает. Актуальную информацию можно получить из статей, опубликованных на сайте Apple:

Резервные копии могут создаваться как с паролем, так и без него. Если резервная копия создаётся без пароля, то некоторые данные (например, пароли из Связки ключей, история браузера Safari, данные приложения Здоровье и ряд других данных) будут зашифрованы аппаратным ключом, извлечь который из устройства может быть трудно или невозможно. В резервных копиях с паролем данные будут зашифрованы самим паролем; их можно расшифровать вместе с основной частью резервной копии.

Обратите внимание: резервные копии устройства могут создаваться как приложением Apple iTunes, так и сторонними приложениями — например, Elcomsoft iOS Forensic Toolkit. Их содержимое будет полностью идентичным. Рекомендуем воспользоваться Elcomsoft iOS Forensic Toolkit в силу следующих факторов:

  • Логический анализ не ограничивается резервными копиями. Elcomsoft iOS Forensic Toolkit поддерживает дополнительные возможности извлечения из устройства, существенно расширяющие набор данных, доступный в резервных копиях.
  • Дополнительные возможности извлечения: некоторые системные журналы и данные приложений, а также фотографии и медиа-файлы (доступ по отдельному протоколу, независимо от резервных копий и установленного на них пароля).
  • Автоматическая установка временного пароля «123» для сохранения максимально полного объёма данных.
  • Гарантированное отсутствие нежелательной синхронизации исследуемого устройства с компьютером, на котором проводится извлечение (при использовании iTunes синхронизацию необходимо принудительно отключать вручную).

Внимание: пароль к резервной копии является свойством устройства (iPhone, iPad, iPod Touch). Если в устройстве установлен пароль на резервные копии, то устройство будет выдавать наружу уже зашифрованные данные независимо от того, какое приложение (iTunes или стороннее) используется для создания резервной копии. Начиная с iOS 11 этот пароль можно сбросить на самом устройстве, для чего необходимо знать код блокировки экрана устройства.

Что делать, если в резервную копию не попали фотографии

Согласно документации, в резервные копии могут не попадать те данные, которые уже содержатся в облаке iCloud. Apple пишет об этом так:

Резервные копии iPhone, iPad и iPod touch содержат только данные и настройки, которые хранятся на вашем устройстве. Они не содержат данные, которые уже хранятся в iCloud, такие как контакты, календари, закладки, заметки, напоминания, голосовые записи, сообщения в iCloud, фото iCloud и общие фото. Некоторые данные не входят в состав резервной копии iCloud, но их можно добавить в iCloud и использовать на нескольких устройствах. Это данные приложения «Почта», медицинские данные, история вызовов и файлы, которые вы храните на iCloud Drive.

Соответственно, если пользователь включил на устройстве синхронизацию фотографий в облако iCloud, то синхронизированные фотографии не попадут в резервную копию iTunes. Для извлечения этих снимков можно использовать один из двух способов либо оба из них:

  1. Воспользуйтесь Elcomsoft iOS Forensic Toolkit. В рамках логического анализа вы сможете извлечь из устройства фотографии и медиа-файлы по независимому протоколу. Дополнительное преимущество этого метода в том, что на возможность извлечения этих данных не повлияет установленный на резервную копию пароль или его отсутствие.
  2. Недостаток первого способа — будут извлечены только те фотографии и видеоролики, которые хранятся в памяти самого устройства. В то же время в облаке iCloud может быть доступно гораздо большее количество снимков. Для их извлечения воспользуйтесь функцией скачивания фотографий из iCloud утилиты Elcomsoft Phone Breaker. Обратите внимание: в облаке могут быть доступны как актуальные, так и удалённые в течение последних 30 дней фотографии. Для доступа к фотографиям вам потребуется информация, необходимая для авторизации в iCloud: Apple ID и пароль пользователи и код двухфакторной аутентификации, если она включена.

Сброс пароля к резервным копиям

Единожды установленный пароль надёжно защищает уже созданные резервные копии. Сам пароль при этом сохраняется на устройстве. Для сброса пароля телефон должен быть полностью работоспособен, а код блокировки экрана должен быть известен. Для того, чтобы сбросить пароль, воспользуйтесь инструкцией, опубликованной Apple.

Данные из зашифрованной резервной копии нельзя восстановить без ввода пароля. В iOS 11 или более поздней версии можно создать зашифрованную резервную копию устройства, сбросив пароль. Чтобы сделать это, нужно выполнить следующие действия.

  • На устройстве iOS выберите «Настройки» > «Основные» > «Сброс».
  • Нажмите «Сбросить все настройки» и введите пароль ОС iOS.
  • Следуйте инструкциям по сбросу настроек. Это не затронет данные или пароли пользователей, но приведет к сбросу таких настроек, как уровень яркости дисплея, позиции программ на экране «Домой» и обои. Пароль для шифрования резервных копий также будет удален.
  • Снова подключите устройство к iTunes и создайте новую зашифрованную резервную копию.
  • Вы не сможете использовать ранее созданные зашифрованные резервные копии, но можете использовать iTunes для резервного копирования текущих данных и установить новый пароль резервной копии.

На устройстве с iOS 10 или более ранней версии сброс пароля невозможен. В этом случае попробуйте выполнить следующие действия.

  • Если ваше устройство настраивал кто-либо другой, узнайте пароль у него.
  • Воспользуйтесь резервной копией, созданной с помощью iCloud, а не iTunes. Если у вас нет резервной копии в iCloud, ее можно создать.
  • Попробуйте воспользоваться более ранней резервной копией в iTunes.

Внимание: если вы воспользуетесь инструкцией по сбросу пароля к резервной копии, с устройства будет удалён код блокировки экрана. Сброс кода блокировки в свою очередь исключает iPhone из «доверенного круга устройств», которые могут синхронизировать в iCloud облачную связку ключей, данные «Здоровья», сообщения и некоторые другие данные. Кроме того, удаление кода блокировки приводит к тому, что с устройства удаляются скачанные сообщения Exchange (если они были) и обнуляется история транзакций Apple Pay. Наконец, после удаления пароля вы более не сможете сбросить или изменить с данного устройства пароль от Apple ID, если на вашей учётной записи активирована двухфакторная аутентификация (точнее, сможете это сделать через браузер, указав старый пароль и пройдя проверку двухфакторной аутентификацией).

Подробнее о защите резервных копий можно прочесть в нашей статье.

На компьютере пользователя резервные копии могут храниться по следующим путям:

macOS: ~/Library/Application Support/MobileSync/Backup/
Windows: Windows 7, Windows 8, Windows 8.1, and Windows 10: %appdata% или %USERPROFILE% (если вы загрузили iTunes из Microsoft Store) \Apple Computer\MobileSync\Backup\

В случае, если резервная копия защищена паролем, для его восстановления потребуются файлы Manifest.plist и Manifest.db (второй из них — начиная с iOS 10 и более современных).


  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  

REFERENCES:

Elcomsoft iOS Forensic Toolkit

Elcomsoft iOS Forensic Toolkit – специализированный инструмент для проведения криминалистического анализа устройств, работающих под управлением Apple iOS. Для анализа доступна вся пользовательская и системная информация, а также зашифрованные данные из системного хранилища (связка ключей).

Официальная страница Elcomsoft iOS Forensic Toolkit »


Elcomsoft Phone Breaker

Инструмент для криминалистов, извлекающий и расшифровывающий данные из резервных копий устройств iOS, Windows Phone и BlackBerry и соответствующих облачных сервисов. Доступ в iCloud по паролю либо маркеру аутентификации, извлечённому из компьютера пользователя. Поддержка двухфакторной аутентификации. Расшифровка Keychain и ускорение перебора паролей на видеокартах AMD и NVIDIA. Словарные атаки для ускоренного восстановления паролей.

Официальная страница Elcomsoft Phone Breaker »


Elcomsoft Phone Viewer

Elcomsoft Phone Viewer – простой и компактный инструмент для просмотра информации, извлечённой из резервных копий устройств под управлением Apple iOS, облачных сервисов iCloud и Microsoft. При работе с данными iOS поддерживается восстановление и просмотр удалённых сообщений SMS и iMessage. Продукт позволяет просматривать контакты, сообщения, список звонков, данные заметок и календаря.

Официальная страница Elcomsoft Phone Viewer »

НАШИ НОВОСТИ