Мы часто пишем про разные способы извлечения данных, и особенно часто — про извлечение методом агента-экстрактора, нашу собственную разработку. Технологии постоянно меняются, и со временем накапливаются мелкие изменения, в результате чего ранние статьи устаревают и теряют релевантность. Начиная с прошлого года мы начали выпускать своеобразные дайджесты — первым стал материал Агент-экстрактор: самая подробная инструкция (2025). За год накопилось достаточно изменений, чтобы написать очередной дайджест. В сегодняшнем материале мы собрали актуальную информацию об агенте-экстракторе на май 2026 года.

Что такое агент-экстрактор

В Elcomsoft iOS Forensic Toolkit (EIFT) есть несколько методов низкоуровневого извлечения и один высокоуровневый (расширенное логическое извлечение). Через высокоуровневый логический доступ можно извлечь ровно то, что разрешает операционная система. При таком подходе многие данные (в том числе — ценные) остаются недоступными. Низкоуровневое извлечение легко обходит эти ограничения. Только так мы можем гарантированно достать изолированные данные приложений, секретные чаты, удалённые записи из баз данных, полные истории переписок, разнообразные файлы и базы данных.

Для работы с современными устройствами Apple мы разработали агент-экстрактор — по сути, обычное приложение, которое мы устанавливаем напрямую на исследуемый девайс. Необычно в нём то, что в состав агента мы включили сразу все нужные для работы эксплойты, использование которых последовательно повышает уровень привилегий. В итоге мы получаем прямой доступ к файловой системе и ключам, которые позволяют расшифровать связку ключей.

Доступные данные и преимущества метода

Главная задача агента-экстрактора — предоставить такой уровень доступа к системе, который превышает возможности, доступные через стандартные протоколы (например, Apple File Conduit, AFC) и службы резервного копирования. Наш агент работает на низком уровне и обходит встроенные защитные механизмы iOS.

Что именно можно извлечь?

Получив повышенные привилегии, агент скачивает файлы и базы данных, до которых невозможно добраться при обычном или расширенном логическом извлечении, и извлекает и расшифровывает связку ключей, в которой хранятся как пароли пользователя, так и разнообразные сертификаты и токены аутентификации. На выходе получается гораздо более полный массив информации по сравнению с резервной копией.

Вот лишь несколько примеров того, что можно найти в файловой системе iPhone или iPad:

• Данные приложений и кэш: мы извлекаем полные базы данных как встроенных, так и сторонних программ (включая почтовые клиенты и мессенджеры). Извлекаются вложения, журналы и файлы настроек. Сюда же входят кэши программ и движка WebKit — в них часто остаются следы активности пользователя во встроенных браузерах.
• Пароли, токены и ключи шифрования: агент извлекает ключи для полной расшифровки связки ключей, что открывает доступ к сохранённым паролям, токенам аутентификации и специальным ключам, которые нужны для расшифровки защищённых данных некоторых приложений (показательный пример — зашифрованные базы данных Signal, которые мы успешно расшифровываем).
• Системная активность и действия пользователя (KnowledgeC и Biomes): системные базы данных, фреймворки KnowledgeC и Biome. В них хранятся детали активности пользователя устройства: время использования программ, любые взаимодействия и контекстные состояния устройства (например, режимы «сон» или «не беспокоить»). С их помощью можно восстановить максимально подробную хронологию поведения пользователя.
• Журналы системных служб и диагностика: здесь доступны огромные массивы системных данных. В их числе статистика PowerLog, индексы Spotlight, данные приложения «Здоровье» (Health) и подробная информация о работе системных служб. Мы достаём историю подключений Wi-Fi и Bluetooth, способы блокировки и разблокировки устройства, события смены ориентации экрана, различные триггеры и моменты активации режима энергосбережения, уведомления, копии некоторых сообщений и множество других системных событий. В совокупности все эти данные часто помогают восстановить хронологию событий и перемещений пользователя.
• Удалённые записи и миниатюры медиафайлов: файлы WAL баз данных SQLite. При последующем анализе они позволяют восстановить удалённые сообщения и другие записи. Кроме того, агент извлекает системные эскизы медиафайлов (уменьшенные изображения для предпросмотра) — они нередко остаются в системе после того, как пользователь удалил оригинальные фото или видео.
• Чаты в мессенджерах: через низкоуровневый доступ извлекаются полные истории переписок из защищённых платформ. Сюда входят данные Telegram (включая секретные чаты), Signal, фирменного приложения iMessage от Apple и множества других мессенджеров. Базы данных Signal изначально зашифрованы, но агент-экстрактор извлекает и ключ для расшифровки переписки из связки ключей, позволяя полностью расшифровать и изучить базу сообщений.
• Детальная история местоположений, включая важные локации и подключения к точкам LTE/3G, что позволяет восстанавливать историю физических перемещений пользователя устройства.

Преимущества нашего решения

Агент-экстрактор решает проблемы других подходов. Логическое извлечение работает везде, но этим способом можно получить доступ лишь к ограниченному набору данных; агент обходит эти ограничения. Эксплойт checkm8 работает только с устаревшими устройствами, последнее из которых вышло около десяти лет назад, тогда как подход на базе агента отлично справляется и с современными чипами. Наконец, здесь мы реализовали собственный проприетарный протокол для связи устройства с компьютером, максимально оптимизировав его под современные скоростные интерфейсы. Прямое подключение по USB-C даёт реальную скорость передачи данных до 200 МБ/с. Это важно, когда вы работаете с устройствами с накопителями от 512 ГБ до 2 ТБ; использование стандартных протоколов растянуло бы процесс на часы.

Коротко о главном (май 2026)

С технической точки зрения:

• Поддерживаемые устройства и версии ОС: агент работает с iPhone на базе чипов от A12 до серии A18. Мы также поддерживаем планшеты iPad с чипами серии A (A12 и новее) и процессорами от M1 до M4. Извлечение работает на прошивках iOS и iPadOS с версии 12.0 по 18.7.1, а также на iOS/iPadOS 26.0 и 26.0.1 для совместимых с ними устройств.
• Исключения: аппаратный контроль целостности памяти (Memory Integrity Enforcement) в устройствах с чипами A19, A19 Pro и M5 на базе iOS или iPadOS 26.x. В данный момент мы не поддерживаем работу с такими конфигурациями (iOS 26.x + A19/M5).
• Требования к подписи: для работы агента его нужно подписать цифровой подписью. Для этого используется Apple ID (любой, в том числе специально созданный одноразовый). К этому Apple ID нужно заранее привязать доверенное устройство Apple — это обязательное условие для прохождения двухфакторной аутентификации.
• Настройка файрволла: при первом запуске агента Apple требует проверку цифровой подписи. Наш способ обхода этой проверки для обычных Apple ID (не для разработчиков) перестал работать. Для решения этой проблемы нужно использовать программный или аппаратный файрволл. Такая конфигурация пропускает пакеты для проверки цифровой подписи, но изолирует исследуемое устройство от серверов синхронизации с iCloud, команд удалённого стирания и любой другой нежелательной сетевой активности.

А теперь — подробности.

Поддерживаемые устройства и версии ОС

Поддержка агента-экстрактора зависит от комбинации аппаратной платформы (чипа SoC) и версии операционной системы. На сегодняшний день мы поддерживаем множество разных моделей, включая iPhone с процессорами от A12 до A18 и планшеты iPad с чипами серии A (от A12 и новее) и серии M (от M1 до M4). Мы работаем с прошивками в диапазоне от iOS 14.0 до 18.7.1. Вдобавок мы реализовали поддержку iOS 26 и 26.0.1 для устройств на чипах от A13 до A18 Pro (важное исключение — вся линейка iPhone 17). Это же правило распространяется на iPadOS 26 и 26.0.1 для совместимых планшетов iPad, которые поддерживаются агентом на всех совместимых устройствах за исключением моделей на базе свежего процессора M5.

Мы обеспечили поддержку агента-экстрактора для следующих моделей iPhone:

(В этой таблице N/A означает, что данный диапазон версий iOS для указанной модели не выходил).

Нужно учитывать особенность моделей iPad Pro с накопителями 1 и 2 ТБ, которые оснащены 16 ГБ оперативной памяти. Когда работает эксплойт, такие устройства иногда ведут себя нестабильно. Дело в том, что структура оперативной памяти этих моделей отличается от младших версий. Это не побочный эффект аппаратной конфигурации. Если агент завис или планшет перезагрузился, просто запустите повторное извлечение. На практике эксплойт успешно срабатывает со второй или третьей попытки.

Более серьёзной преградой стала функция аппаратного контроля целостности памяти (Memory Integrity Enforcement, MIE). Разработчики Apple внедрили её в iOS 26 для новых устройств с процессорами A19, A19 Pro (линейка iPhone 17) и M5 (новые модели iPad Pro). Эта защита присваивает каждому выделенному блоку памяти уникальный 4-битный криптографический тег. Технология эффективно нейтрализует классические уязвимости вроде переполнения буфера или использования освобождённой памяти. Теперь на новых устройствах процессор требует строгого совпадения этого тега при любом обращении к памяти. Механизм MIE работает синхронно, и любое несовпадение тега в момент работы эксплойта мгновенно вызывает критическую ошибку процессора без малейшего временного зазора, который можно было бы использовать, чтобы «вклиниться» в систему.

На май 2026 года механизм MIE остаётся главным препятствием для низкоуровневого извлечения агентом-экстрактором на устройствах с чипами A19 и M5 под управлением iOS 26.x. Аппаратная защита пока успешно противостоит нашим методам повышения привилегий, но мы активно ищем обходные пути. Не будем пока раскрывать деталей, но в лабораторных условиях ранние результаты выглядят многообещающе.

Установка, подпись и сетевая изоляция

Перед запуском агента нужно правильно настроить рабочую станцию и сетевое окружение. Apple требует подписывать любые приложения при установке в обход App Store, и приложение агента-экстрактора — не исключение. Правила безопасности Apple заставляют операционную систему проверять эту подпись онлайн во время первого запуска программы. Для криминалиста это серьёзный риск: подключение к сети может запустить синхронизацию с iCloud или исполнить команду удалённого стирания данных. Для устранения этого риска нужно изолировать устройство с помощью файрволла, который будет пропускать только трафик к серверам проверки профилей Apple (Provisioning Profile Queue), блокируя любую другую активность.

Файрволл

Сетевая изоляция устройства во время проверки цифровой подписи — важный этап, пропускать который мы крайне не рекомендуем. Мы разработали два варианта безопасного подключения к сети: программный скрипт для macOS и аппаратное решение на базе микрокомпьютера Raspberry Pi. Подробности можно найти в наших статьях:

• Установка агента-экстрактора: программный или аппаратный файрволл?
• Безопасный способ установки агента-экстрактора: блокировка сетевых соединений
• Прошивка для Raspberry Pi: функциональный файрволл с открытым исходным кодом

Программный файрволл — это разработанный нами скрипт, который запускается на компьютера с macOS. Главный плюс в удобстве: нужен только Mac и сетевой кабель. Правда, настройка требует ювелирной точности; нужно точно следовать инструкции. Одно неверное движение легко разрушит изолированную среду. Ошибка в настройке приведёт или к неудаче проверки цифровой подписи или, что гораздо хуже, выпустит устройство в открытый интернет и поставит данные под угрозу.

Для создания аппаратного файрволла нужен микрокомпьютер Raspberry Pi. Мы поддерживаем разные одноплатные компьютеры, но настоятельно не рекомендуем брать модели Orange Pi: в качестве файрволла они работают нестабильно. Главный козырь аппаратного подхода — надёжность. Достаточно один раз настроить микрокомпьютер, и дальше он просто работает.

Если вы собираете аппаратный файрволл на базе старых Raspberry Pi 3 или 4, рекомендуем скачать нашу открытую кастомную прошивку из репозитория на GitHub.

Для более свежей версии Raspberry Pi 5 процесс немного отличается. Мы подготовили специальный образ для SD-карты. Исходный код этого образа мы не публикуем, но сам образ доступен абсолютно бесплатно. В публичном доступе его нет — напишите в нашу службу поддержки, и мы вышлем нужный файл.

Подготовка рабочего места и требования к подключению

Перед установкой и подписью агента необходимо правильно подготовить рабочее место.

• Подключение к интернет. Компьютер эксперта, на котором выполняется подпись агента, должен быть подключён к сети.
• Прямое подключение через USB-C. Устройство всегда следует подключать к компьютеру напрямую кабелем — вне зависимости от того, какой разъём используется на самом смартфоне: Lightning или USB-C. Хабы и переходники лучше исключить: они нередко разрывают соединение или существенно снижают скорость извлечения.
• Синхронизация времени. Дата и время на рабочем компьютере и мобильном устройстве должны совпадать.
• Исключения для антивируса. На время работы антивирус, включая Windows Defender, нужно отключить. Антивирусы часто ошибочно принимают встроенные эксплойты за угрозу, помещают файлы в карантин и тем самым полностью блокируют установку.

Требования к Apple ID и процессу подписи

Существует заблуждение, что приложение агента нужно подписывать тем же Apple ID, который привязан к исследуемому устройству. Это не так: учётная запись владельца устройства не имеет отношения к подписи агента. Для работы используется Apple ID, находящийся под контролем следователя, при соблюдении ряда обязательных условий.

Доверенное устройство. К рабочему Apple ID должно быть привязано проверенное устройство Apple для получения кодов двухфакторной аутентификации (2FA). Подтверждение по SMS недопустимо: Apple блокирует аккаунт уже после нескольких последовательных SMS-запросов кода.

Платный аккаунт разработчика Apple ID. Именно этот вариант является предпочтительным.

• Позволяет подписывать до 100 iPhone и 100 iPad в год.
• Сертификаты для первых 10 устройств генерируются мгновенно. Начиная с 11-го Apple вводит период ожидания до 72 часов — в портале разработчика это отображается статусом pending.
• Только платные аккаунты, зарегистрированные до 6 июня 2021 года, поддерживают первоначальный запуск в полностью офлайн-режиме. Для всех более новых учётных записей эта возможность закрыта: обязательной процедурой стала онлайн-проверка цифровой подписи через настроенный файрволл.

Стандартный (бесплатный) Apple ID. Бесплатные аккаунты разработчиков прав на подпись не имеют и в работе не используются. Обычные пользовательские Apple ID подходят, однако имеют существенные ограничения.

• Можно подписывать не более 3 устройств в неделю.
• В учётной записи должна быть история успешных входов в iCloud с устройств Apple.
• При использовании стандартной учётной записи потребуется вручную добавить профиль разработчика в доверенные через настройки устройства. Это действие обязательно требует выхода в интернет через файрволл.

Подготовка устройства и устранение проблем

Для установления соединения и запуска агента нужно вручную обойти ряд защитных механизмов iOS.

• Установка доверия. Между устройством и рабочим компьютером необходимо установить доверенное соединение. Если EIFT возвращает ошибку handshake with lockdownd failed, это означает, что сертификат доверия был сброшен. В этом случае следует выполнить команду eift_cmd normal unpair, переподключить кабель и подтвердить доверие на экране смартфона.
• Защита украденного устройства (Stolen Device Protection, SDP). При активной функции SDP на iOS 17.3 и выше первоначальная установка доверия потребует биометрической аутентификации через Face ID или Touch ID.
• Режим разработчика (iOS 16 и выше). Агент не запустится, если режим разработчика не включён. Соответствующий переключатель появляется в настройках iOS только после установки подписанного приложения. Для его активации необходимо ввести код блокировки и перезагрузить устройство.

Процесс извлечения

После запуска агента для стабильного извлечения данных следует придерживаться нескольких правил.

• Порядок действий. В первую очередь необходимо выгрузить связку ключей (Keychain). Этот процесс занимает минимум времени и сразу предоставляет ключевые данные для расшифровки.
• Ошибка Kernel Panic. В ходе срабатывания эксплойта устройство может уйти в перезагрузку из-за ошибки «паника ядра» — это штатная ситуация. Достаточно подождать две-три минуты после перезагрузки и повторить попытку. Для стабильного выхода из песочницы иногда требуется три-четыре попытки.
• Физическая стабильность. Извлечение файловой системы выполняется со скоростью от 35 до 200 МБ/с. В этот период не трогайте ни само устройство, ни кабель или лицензионный ключ EIFT.
• Отключите энергосбережение. Необходимо убедиться, что компьютер не перейдёт в спящий режим во время работы. Помните: прерванное извлечение нельзя возобновить — при любом обрыве соединения придётся начинать весь процесс заново.
• Размер архива APFS. Итоговый .tar-архив вполне может оказаться больше как занятого места на устройстве, так и суммарного объёма его хранилища. Это характерная особенность файловой системы Apple (APFS), связанная с механизмами создания снапшотов, клонированных файлов, сжатия, разреженных файлов и т. д., а также символических ссылок.
• Целевой накопитель. Настоятельно не рекомендуем сохранять данные непосредственно на внешний жёсткий диск, флеш-накопитель или сетевой диск — особенно при работе в Windows. Исключение составляют только скоростные внешние SSD со стабильной скоростью записи. В остальных случаях сначала сохраните данные на внутренний накопитель компьютера и лишь после полного завершения извлечения скопируйте архив на внешний носитель.