В последние годы процесс извлечения данных с использованием iOS Forensic Toolkit (EIFT) претерпел значительные изменения. Предыдущая ветка продукта, линейка EIFT 7, прекрасно работала и была тщательно отлажена. В то же время её доступность была ограничена; фактически, линейка EIFT 7 представляла собой набор скриптов, который автоматизировал использование нескольких включённых в состав продукта утилит и давала пользователю простое текстовое меню, не требуя от него навыков использования каждой отдельной утилиты. В EIFT 8 появилось много новых возможностей, которые вышли за пределы простого текстового меню.

При низкоуровневом извлечении данных из устройств под управлением iOS с использованием эксплойта checkm8 иногда может потребоваться удалить (сбросить) код блокировки экрана. Сброс кода блокировки приводит к ряду нежелательных последствий; по возможности данной процедуры желательно избегать. В этой статье мы расскажем, при каких обстоятельствах требуется сбрасывать код блокировки экрана, когда этого можно избежать, к каким последствиям это приводит и почему даже сброс пароля не всегда помогает извлечь данные.

С выходом iOS 16 процесс извлечения данных из многих устройств, для которых доступен низкоуровневый метод с использованием уязвимости загрузчика, стал более сложным из-за ряда изменений как в сопроцессоре Secure Enclave, так и в структуре файловой системы системного RAM-диска. Благодаря последним усовершенствованиям в iOS Forensic Toolkit нам удалось добавить поддержку этого поколения iOS в редакции для Linux и заметно улучшить работу в редакции для macOS.

В очередном обновлении iOS Forensic Toolkit инструментарий для мобильной криминалистики вышел в редакции для Linux. В новой редакции поддерживаются как логический анализ, так и все доступные низкоуровневые методы извлечения, включая извлечение через эксплойт загрузчика, для которого ранее требовался компьютер с macOS. Новая редакция для Linux функционально идентична самой продвинутой редакции iOS Forensic Toolkit для Mac — за единственным исключением.

Уязвимость в загрузчике, которой подвержены несколько поколений устройств Apple, открыла возможность криминалистически чистого извлечения для ряда устройств. В сегодняшней статье мы расскажем о поддерживаемых устройствах, особенностях использования нашей реализации checkm8, возможных проблемах и методах их решения.

В предыдущих статьях мы рассказали о том, как собрать адаптер для подключения колонки HomePod первого поколения к компьютеру и как извлечь из устройства образ файловой системы и связку ключей. В заключительной статье рассказывается о том, какие данные удалось обнаружить среди извлечённой из умной колонки информации.

В умных колонках HomePod первого поколения, основанных на чипах Apple A8, присутствует уязвимость загрузчика, позволяющая извлечь из этих устройств данные посредством эксплойта checkm8. Мы разработали специальный адаптер, позволяющий подключить колонку к компьютеру. При помощи адаптера и инструментария iOS Forensic Toolkit для колонок HomePod первого поколения доступно полноценное извлечение данных, о чём и пойдёт речь в данной статье.

Умные колонки Apple HomePod оборудованы скрытым диагностическим портом, который можно использовать для подключения к компьютеру с последующим извлечением данных. В этой статье мы расскажем о том, как разобрать колонку, получить доступ к скрытому порту, собрать и подключить адаптер для подключения колонки к компьютеру. В последующих статьях будет рассказано о том, каким образом можно извлечь из колонки данные и что именно в них содержится.

При извлечении данных из мобильных устройств Apple эксперту может быть доступно несколько способов достижения цели. Порядок, в котором применяются методы извлечения, имеет критическое значение для обеспечения максимально безопасного криминалистически чистого анализа. О том, какими методами и в каком порядке следует пользоваться при извлечении цифровых улик из iPhone — в этой статье.

23 января разработчики Apple выпустили серию обновлений. Для актуальных устройств вышла iOS 16.3, а для старых моделей — iOS 12.5.7 и iOS 15.7.3. Мы сразу же проверили работу iOS Forensic Toolkit с этими версиями системы, а сегодня выпустили обновление, в котором поддержка новых сборок iOS добавлена официально. Что это меняет для экспертов-криминалистов?