Слежка — это хорошо или плохо? Когда за пользователем следит ревнивый партнёр, злоумышленник или жадный до персональных данных рекламодатель — ответ очевиден. От такой слежки можно и нужно защищаться, и средства для этого существуют. А если слежку нужно организовать за членом преступной группировки в ходе оперативно-розыскной деятельности? Эмоциональный окрас термина меняется на противоположный. Меняется и сам термин: банальная «слежка» превращается в «комплекс мероприятий по наружному наблюдению». В этой статье мы расскажем о том, как работники правоохранительных органов могут использовать облачный сервис Apple iCloud для организации наружного наблюдения за подозреваемым.

Вторая бета-версия iOS Forensic Toolkit 8.0, ставшая первой публично доступной сборкой крупного обновления, предлагает новый режим извлечения данных, работающий через эксплойт загрузчика. Новый режим анализа гарантирует криминалистическую чистоту извлечения, повторяемый и верифицируемый результат. В этой статье приводятся инструкции по использованию нового режима.

Если вы когда-нибудь пробовали установить джейлбрейк checkra1n или использовать извлечение посредством эксплойта checkm8 в iOS Forensic Toolkit, вы наверняка сталкивались с двумя сложностями: вводом телефона в режим DFU и установкой эксплойта. Даже при использовании качественных кабелей и достаточном опыте, эти этапы могут вызвать совершенно неожиданные проблемы, казалось бы, на ровном месте. В этой статье мы расскажем о том, как увеличить вероятность корректного извлечения с использованием checkm8.

Как нельзя дважды войти в одну и ту же реку, так и невозможно извлечь две одинаковых копии данных из современных моделей iPhone. Почему так происходит, что с этим можно сделать и как сделать так, чтобы полученные цифровые улики можно было предъявить в суде – в этой статье.

При работе на выезде определяющим фактором зачастую является время, затраченное на поиск и анализ улик. В то же время важно обеспечить чистоту собранных в процессе анализа данных с правовой точки зрения. При создании образов дисков необходимо обеспечить как неизменность изначальных данных и доказательное соответствие снятого образа оригиналу, так и неизменность самого образа в процессе его хранения и обработки. Новые функции Elcomsoft System Recovery облегчат достижение этих целей.

Извлечение одной кнопкой — давняя и несбыточная мечта специалистов, работающих в области мобильной криминалистики. В наши дни не существует универсальных решений. Разнообразие мобильных устройств и повсеместное использование сквозного шифрования требуют использования всё более изощрённых методов для доступа к данным. Мир современной мобильной криминалистики сложен, и действия эксперта будут зависеть от множества факторов. Сегодня мы расскажем о новом способе аутентификации в iCloud, который ранее не использовался в продуктах для облачного анализа.

В процессе анализа и извлечения данных из iPhone может потребоваться переключить устройство в режим DFU. Для старых устройств это даёт возможность доступа к данным через эксплойт checkm8. Переключение в режим DFU требует последовательности нажатий клавиш со строгим соблюдением таймингов. Если устройство повреждено и одна или несколько аппаратных кнопок вышли из строя, ввод в DFU может быть затруднён или невозможен. В данном руководстве предлагается альтернативный способ.

Не так давно в iOS Forensic Toolkit для macOS появилась поддержка эксплойта загрузчика checkm8. В новой версии инструментария был добавлен новый режим анализа, позволяющий извлечь образ файловой системы и расшифровать Связку ключей из моделей iPhone 5s, iPhone 6, 6 Plus, 6s, 6s Plus и iPhone SE первого поколения, работающих под управлением любых версий iOS за исключением iOS 7.x. В этой статье подробно описано использование метода извлечения на основе checkm8.

В последнем обновлении инструментария iOS Forensic Toolkit 7.0 мы добавили поддержку устройств последнего поколения iPhone 12, а также других устройств, работающих под управлением версий iOS 14.0 – 14.3. Метод извлечения собственной разработки, основанный на использовании агента-экстрактора, имеет ряд преимуществ по сравнению с альтернативами.

Роль режима восстановления iPhone в мобильной криминалистике невелика, однако даже относительно небольшой объём информации, доступной в этом режиме, может иметь важное значение, если никакие другие способы анализа недоступны. Режим восстановления — один из немногих способов, позволяющих узнать достаточно информации об устройстве для составления официального запроса устройство в Apple, если устройство повреждено, заблокировано или отключено после десяти неудачных попыток разблокировки. Режим восстановления — один из немногих способов, доступных для устройств в режиме ограничения USB.