Долгое время сборка iOS Forensic Toolkit для macOS оставалась самой функциональной. Только в ней можно было использовать извлечение через эксплойт загрузчика, только из macOS можно было установить приложение агента-экстрактора с обычной учётной записью, и только в ней поддерживались беспроводные адаптеры для часов Apple Watch. Все эти возможности теперь доступны как в сборке для macOS, так и в версии для Linux, что избавляет специалистов от необходимости иметь компьютер Apple. В этой статье мы расскажем о том, как правильно установить продукт на компьютер с Linux.

Для чего нужна сборка для Linux?

В редакции EIFT для Linux функции инструментария полностью аналогичны расширенному функционалу редакции для Mac, и превышают функционал версии для Windows. Пользователи Linux смогут производить низкоуровневое извлечение данных из совместимых устройств на уровне загрузчика, устанавливать агент-экстрактор с обычной учётной записью Apple ID, извлекать данные из последних моделей часов Apple Watch, использующих беспроводные адаптеры, для которых нет драйвера для Windows. Разумеется, только этим функционал продукта не ограничен: в редакции EIFT для Linux доступны и все другие возможности, которые есть в версии для macOS. О различиях в функционале разных редакций мы писали в статье iOS Forensic Toolkit для macOS, Windows и Linux: три редакции одного продукта.

Установка iOS Forensic Toolkit в Linux

Для установки iOS Forensic Toolkit воспользуйтесь следующими инструкциями.

Совместимость: Редакция для Linux совместима с несколькими сборками Linux; официально поддерживаются актуальные дистрибутивы Debian, Ubuntu, Kali Linux, Mint и Astra.

Шаг 1: Перенос архива на компьютер с Linux

Скачайте архив EIFT.zip (iOS Forensic Toolkit) на любой удобный компьютер и перенесите нераспакованный ZIP-архив на компьютер с установленной Linux-системой (например, с помощью USB-накопителя или по сети).

• Внимание: не распаковывайте архив на компьютере с Windows! Это может повредить структуру файлов (в частности, символические ссылки).

Шаг 2: Подготовка к установке

Скопируйте архив EIFT.zip на рабочий стол (каталог ~/Рабочий стол или ~/Desktop в зависимости от локализации). Откройте терминал и получите root-доступ командой:

sudo su

Шаг 3: Распаковка архива

Введите команду unzip (с пробелом на конце) для распаковки архива, после чего перетащите файл ZIP с рабочего стола прямо в окно терминала — путь подставится автоматически. Теперь нажмите Enter. После этого наберите в окне терминала (но пока не выполняйте) команду cd (с пробелом на конце), затем перетащите распакованную папку EIFT в окно терминала (путь подставится автоматически), после чего нажмите Enter. Пример команд:

unzip '/home/username/Desktop/file'
cd '/home/username/Desktop/folder'

Шаг 4: Установка зависимостей

Установите системные зависимости из встроенного .deb-пакета:

sudo apt install ./com.elcomsoft.eift-dependency.deb

Кроме того, дополнительно установите следующий пакет, если вам нужна поддержка логического извлечения из новых моделей часов Apple Watch:

sudo apt install ./com.elcomsoft.usbmuxd2.deb

Шаг 5: Запуск EIFT

Продукт готов к использованию. Для запуска используйте команду:

./EIFT_cmd [нужные параметры]

Обратите внимание: важно соблюдать регистр имени файла (EIFT_cmd с заглавными буквами).

Версия Live Linux

Помимо обычной версии iOS Forensic Toolkit для Linux у нас есть специальная загрузочная версия инструментария, которая распространяется в виде полного образа, включающего настроенную сборку Ubuntu с предустановленной версией iOS Forensic Toolkit. Этот образ запускается с загрузочного USB-накопителя и не требует установки.

Сборка Live Linux включает весь функционал, доступный в редакциях для Linux и macOS, включая поддержку checkm8 и логический анализ Apple Watch через беспроводной адаптер — возможности, которых нет в версии для Windows. Все зависимости уже установлены, система готова к работе «из коробки».

Образ работает на большинстве машин с процессорами Intel и AMD. Есть экспериментальная сборка для ARM (например, Raspberry Pi 5), пока в статусе тестирования.

Live Linux — это быстрый способ начать работу с EIFT без лишних подготовок.