Perfect Acquisition — самый надёжный метод извлечения данных из устройств на iOS из всех, разработанных нашей компанией. Этот способ соответствует всем требованиям цифровой криминалистики: результат полностью повторяем, а при его использовании не изменяется ни один бит файловой системы. Если устройство поддерживает Perfect Acqsuition, то применять нужно именно этот метод — и только его. В данной статье описан весь процесс — от получения дампа данных до расшифровки и монтирования образа для анализа.

Совместимость

Метод совместим со следующими устройствами и платформами:

• Поддерживаемые устройства: Perfect Acquisition работает с рядом устройств Apple с 32-разрядной архитектурой; в частности, для iPhone поддерживаются модели от iPhone 3GS до iPhone 5c включительно. Также поддерживаются классические модели iPad 1-4 поколений, оригинальная модель iPad Mini, Apple TV 2 и 3 поколений и оригинальные часы Apple Watch S0.
• Поддерживаемые платформы: извлечение посредством Perfect Acquisition доступно в редакциях iOS Forensic Toolkit для macOS и Linux.
• Монтирование образа: для монтирования образа на компьютере с Windows используйте бесплатную портативную утилиту нашей разработки — FSTool. Перед использованием распакуйте архив в любое удобное место на диске и установите WinFSP, запустив соответствующий файл .msi; после этого можно запускать утилиту fstool.exe.

Обратим внимание что все поддерживаемые методом модели iPhone, iPad и Apple TV работают только под управлением HFS. Поддержка APFS появилась заметно позднее — в 64-разрядных моделях начина с версий iOS 10.3, tvOS 10.2, watchOS 3.2. Единственное важное исключение — часы Apple Watch S0, в которых APFS появилась с выходом watchOS 3.2.

Важно: для всех операций, в процессе которых создаётся какой-либо файл, файл с таким именем не должен существовать по выходному пути. Если такой уже есть, например, от прерванной предыдущей попытки или от извлечения с другого устройства, инструментарий выдаст ошибку.

Базовая последовательность

Извлечение осуществляется последовательным выполнением следующего набора команд (под каждой командой даются комментарии по её использованию).

./EIFT_cmd boot -w 

iOS Forensic Toolkit запускается в режиме ожидания. Можно запускать как до, так и после подключения устройства в режиме DFU. В режим DFU устройство можно переводить как перед подключением, так и после него, если устройство было изначально подключено в обычном режиме или режиме Recovery.

./EIFT_cmd ramdisk diskdump -o data.dmg 

Снятие образа диска в data.dmg.

./EIFT_cmd ramdisk dumpkeys -n -o keys_bfu.plist 

Извлекаются BFU-ключи (частичный набор, не требующий ввода кода блокировки экрана) в keys_bfu.plist.

./EIFT_cmd fstool -i data.dmg -B systembag.kb -k keys_bfu.plist 

Извлекается system keybag из data.dmg в systembag.kb с использованием BFU-ключей.

./EIFT_cmd ramdisk passcode -b systembag.kb -k keys_bfu.plist 

Автоопределение типа и подбор кода блокировки устройства с настройками по умолчанию; поддержка 4/6 цифр определяется автоматически.

./EIFT_cmd ramdisk dumpkeys -k keys_bfu.plist -b systembag.kb -o keys.plist -p <PASSCODE> 

Извлекается полный набор ключей (используйте обнаруженный/известный код блокировки — <PASSCODE>).

Расшифровка связки ключей и монтирование образа

Далее следует расшифровать связку ключей и смонтировать образ данных. Для этого используются следующие команды:

./EIFT_cmd tools keychain -i data.dmg -k keys.plist -o keychain.xml 

Извлечь и сохранить связку ключей (keychain) в XML.

./EIFT_cmd fstool -i data.dmg -k keys.plist --mount 

Монтирование образа данных на компьютере с установленным iOS Forensic Toolkit.

Внимание: для монтирования образа данных на компьютере с Windows, на котором iOS Forensic Toolkit не установлен, используйте следующую команду:

fstool.exe  -i data.dmg -k keys.plist --mount

Если при монтировании появляется ошибкаerror=1455: это означает недостаток доступной памяти — необходимо увеличить размер файла подкачки.

Дополнительные заметки

У образов  .dmg есть ряд преимуществ по сравнению с образом файловой системы в формате .tar: извлечение в DMG сохраняет больше метаданных и даёт большую надёжность в плане файловой системы. В случае с tar извлекается содержимое файловой системы, а в данном случае экспортируется весь «диск» устройства; между ними есть значимая разница. Мы планируем подробную статью на эту тему.

Инструменты для просмотра и анализа данных: некоторые актуальные версии программ для парсинга и анализа извлечённых таким образом данных требуют доработки. Cellebrite Physical Analyzer и Magnet AXIOM разбирают подмонтированные образы стабильно; «Мобильный Криминалист» с задачей не справляется (возможно, из-за жёстко прописанных путей или несовместимости с теми версиями iOS, которые установлены на 32-битных устройствах).

В ближайшем будущем планируется аналогичный подход для всех 64-битных устройств, подверженных эксплойту checkm8: все модели iPhone до iPhone 7 включительно, множество iPad, ряд Apple TV. Поддержка APFS в утилите fstool уже встроена.