С выходом iOS 16 процесс извлечения данных из многих устройств, для которых доступен низкоуровневый метод с использованием уязвимости загрузчика, стал более сложным из-за ряда изменений как в сопроцессоре Secure Enclave, так и в структуре файловой системы системного RAM-диска. Благодаря последним усовершенствованиям в iOS Forensic Toolkit нам удалось добавить поддержку этого поколения iOS в редакции для Linux и заметно улучшить работу в редакции для macOS.

В обновлении iOS Forensic Toolkit у пользователей Windows появилась возможность монтировать образы данных в формате HFS, извлечённые из 32-разрядных устройств Apple в рамках низкоуровневого анализа. Новая возможность позволит экспертам-криминалистам, использующим компьютеры с Windows, получить полный доступ к файловой системе путём монтирования образов разделов HFS.

Elcomsoft iOS Forensic Toolkit (EIFT) — чрезвычайно мощный продукт, предназначенный для извлечения данных из различных устройств Apple, от iPhone до HomePod. Но если в простейших случаях для использования продукта достаточно единственного кабеля Lightning, то максимально раскрыть возможности инструментария невозможно без некоторых дополнительных аксессуаров. В этой статье мы рассмотрим обязательные и дополнительные аксессуары, которые необходимы для эффективного использования продукта.

Мы разработали принципиально новый способ разблокировки и извлечения данных, поддерживающий большинство устройств Apple, не оборудованных сопроцессором безопасности Secure Enclave. Для устаревших устройств, оборудованных 32-разрядными процессорами, стал доступен вариант разблокировки устройства с последующим полным физическим извлечением всех данных.

Процесс низкоуровневого извлечения данных из iPhone и iPad требует установки на устройство специальной программы — агента-экстрактора. Агент чрезвычайно прост в использовании, но после последних изменений на стороне Apple его установка стала вызывать проблемы даже у опытных пользователей. В этой статье мы описываем вариант решения — прошивку для Raspberry Pi 4, превращающую устройство в функциональный файрволл, который позволяет верифицировать цифровую подпись агента, блокируя попытки доступа подключённого iPhone к интернету.

В седьмой бета-версии Elcomsoft iOS Forensic Toolkit 8.0 для Mac появился новый способ извлечения данных, использующий одноплатный микроконтроллер Raspberry Pi Pico для доступа к данным. Первой моделью смартфона, поддерживаемой комплексом, стал iPhone 4s, планшетов – iPad 2 и 3 поколений. В этой статье описан процесс сборки, настройки и использования аппаратного контроллера для разблокировки iPhone 4s и его последующего анализа.

Процесс установки эксплойта checkm8, позволяющего провести криминалистически чистое извлечение данных из ряда моделей iPhone, может оказаться достаточно капризным и ненадёжным в зависимости от используемого оборудования. Мы уже писали о роли USB хабов, позволяющих повысить надёжность процесса на компьютерах Mac с Apple Silicon (чипы M1 всех поколений). Сегодня у нас появились хорошие новости.

В процессе анализа и извлечения данных из iPhone может потребоваться переключить устройство в режим DFU. Для старых устройств это даёт возможность доступа к данным через эксплойт checkm8. Переключение в режим DFU требует последовательности нажатий клавиш со строгим соблюдением таймингов. Если устройство повреждено и одна или несколько аппаратных кнопок вышли из строя, ввод в DFU может быть затруднён или невозможен. В данном руководстве предлагается альтернативный способ.