Низкоуровневое извлечение — единственный способ добраться до максимально полной информации, хранящейся в устройствах iOS/iPadOS. В очередном обновлении iOS Forensic Toolkit мы улучшили механизм установки агента, добавив установку с компьютеров Windows и Linux с использованием обычных учётных записей Apple ID.

О программе Apple для разработчиков в контексте мобильной криминалистики мы писали неоднократно. Учётная запись Apple ID нужна для установки на исследуемое устройство агента-экстрактора, позволяющего получить доступ к файловой системе и связке ключей. В руководстве к iOS Forensic Toolkit мы усиленно рекомендуем зарегистрировать учётную запись в качестве разработчика. В чём смысл этой регистрации, для чего эксперту-криминалисту нужно становиться «зарегистрированным разработчиком» и можно ли без этого обойтись?

iOS Forensic Toolkit поставляется в трёх редакциях — для компьютеров с операционными системами macOS, Windows и Linux. Между тремя редакциями есть масса различий, и далеко не только функциональных. В этой статье мы расскажем, в чём разница между редакциями, какую редакцию стоит выбрать и почему.

В последние годы процесс извлечения данных с использованием iOS Forensic Toolkit (EIFT) претерпел значительные изменения. Предыдущая ветка продукта, линейка EIFT 7, прекрасно работала и была тщательно отлажена. В то же время её доступность была ограничена; фактически, линейка EIFT 7 представляла собой набор скриптов, который автоматизировал использование нескольких включённых в состав продукта утилит и давала пользователю простое текстовое меню, не требуя от него навыков использования каждой отдельной утилиты. В EIFT 8 появилось много новых возможностей, которые вышли за пределы простого текстового меню.

При низкоуровневом извлечении данных из устройств под управлением iOS с использованием эксплойта checkm8 иногда может потребоваться удалить (сбросить) код блокировки экрана. Сброс кода блокировки приводит к ряду нежелательных последствий; по возможности данной процедуры желательно избегать. В этой статье мы расскажем, при каких обстоятельствах требуется сбрасывать код блокировки экрана, когда этого можно избежать, к каким последствиям это приводит и почему даже сброс пароля не всегда помогает извлечь данные.

Мы не раз и не два писали о паролях, которыми могут быть защищены резервные копии, создаваемые устройствами под управлением iOS и iPadOS. Из множества разрозненных статей трудно составить цельное впечатление о том, что из себя представляют эти пароли, на что влияют, как их восстановить, можно ли их сбросить и в каких случаях это нужно делать — а когда не нужно категорически. В этой статье мы подводим итог многолетних исследований этой области и даём конкретные рекомендации по работе с паролями.

Эксплойт уязвимости загрузчика checkm8, позволяющий извлекать информацию из широкого ряда устройств, работает не только для iPhone и iPad. В список входят и такие устройства, как Apple Watch, Apple TV, и даже колонки HomePod. В то же время свои особенности есть не только у каждого типа устройств, но и у чипов различных модификаций. В этой статье мы собрали информацию обо всех важных и просто интересных особенностях различных чипсетов, моделей и модификаций в контексте извлечения через эксплойт загрузчика.

В цифровую эпоху возникла неожиданная проблема. Выяснилось, что электронные гаджеты не имеют настоящей функции выключения, которая отключает питание. Невыключаемое устройство с перманентным доступом к сети — это потенциальная угроза конфиденциальности и цифровой безопасности. Наши партнёры из компании Velter предлагают запатентованные и протестированные решения для экранирования радиосигналов.

В обновлении iOS Forensic Toolkit у пользователей Windows появилась возможность монтировать образы данных в формате HFS, извлечённые из 32-разрядных устройств Apple в рамках низкоуровневого анализа. Новая возможность позволит экспертам-криминалистам, использующим компьютеры с Windows, получить полный доступ к файловой системе путём монтирования образов разделов HFS.

При оборудовании лаборатории для цифровой криминалистики исключительно важно наличие широкого набора инструментов. Выбрать единственный «правильный» продукт невозможно практически: различные инструменты имеют разную специализацию, а специфика их использования подразумевает внимательность и дополнительные проверки. Сегодня мы поговорим о том, как один из лучших инструментов для извлечения данных iOS Forensic Toolkit использовать совместно с аналитическим продуктом Cellebrite Physical Analyzer.