Совсем скоро на экранах ваших телевизоров! Наши разработчики впервые успешно извлекли полный образ файловой системы из телеприставки Apple TV 4K, работающей под управлением последней версии tvOS 26. Это стало первым в истории низкоуровневым извлечением из операционной системы Apple 26-го поколения — семейства, в которое также входят iOS 26, iPadOS 26, watchOS 26 и audioOS 26. Ранее этого не удавалось добиться никому — даже крупнейшим игрокам на рынке цифровой криминалистики!

Наши клиенты часто спрашивают, какие именно версии iOS поддерживает iOS Forensic Toolkit. Формально поддерживаются все, но есть нюанс, и не один. Точный ответ на этот вопрос зависит от множества причин, но для начала нужно ответить на другой, более фундаментальный вопрос: а что такое, собственно, «поддержка»?

В статье Журналы событий: как извлечь и чем анализировать логи Apple мы подробно рассказали о том, какие системные журналы бывают в устройствах Apple, как создаются и извлекаются sysdiagnose и чем они отличаются от унифицированных логов Unified Logs. Сегодня мы поговорим о том, как можно извлечь унифицированные журналы Apple Unified Logs при помощи новой функции iOS Forensic Toolkit.

Perfect Acquisition — самый надёжный метод извлечения данных из устройств на iOS из всех, разработанных нашей компанией. Этот способ соответствует всем требованиям цифровой криминалистики: результат полностью повторяем, а при его использовании не изменяется ни один бит файловой системы. Если устройство поддерживает Perfect Acqsuition, то применять нужно именно этот метод — и только его. В данной статье описан весь процесс — от получения дампа данных до расшифровки и монтирования образа для анализа.

Представьте ситуацию: из iPhone извлечены все доступные данные (логическим или низкоуровневым способом); устройство выключено и на время отложено. Спустя месяц извлечение повторяется, но заметной доли данных в резервной копии или образе файловой системы просто не оказалось. Какие категории данных могут исчезнуть со временем, почему так происходит и можно ли как-то предотвратить этот процесс? Попробуем разобраться.

Перед вами — пятая часть серии Perfect Acquisition о технологии «идеального извлечения». Если вы пропустили предыдущие части, рекомендуем ознакомиться с ними — в них описано, как мы пришли к «идеальному» извлечению. Сегодня же мы расскажем о том, как эта технология работает в случаях, когда на устройстве вместо файловой системы HFS установлена APFS.

В течение многих лет с момента появления в составе iOS Forensic Toolkit агента-экстрактора для низкоуровневого доступа к данным мы публиковали материалы о том, как правильно установить агент на устройство и что делать, если возникли проблемы. Со временем наш продукт эволюционировал; постепенно менялось и окружение. Мы старались реагировать, публикуя всё новые и новые статьи. В результате самые старые статьи частично бесполезны, а в обилии обновлений легко запутаться. Сегодня мы решили собрать и актуализировать всю доступную информацию в одном большом материале.

Многочисленные устройства Apple собирают подробную информацию о работе устройств и взаимодействиях с пользователем. Формат журналов неизменен независимо от того, создаются они на устройствах с iOS, iPadOS, watchOS или tvOS, хотя тип и количество записей, конечно же, будет отличаться. В цифровой криминалистике журналы событий играют важную роль. Запись в журнале событий может помочь установить факт физического присутствия или факт осознанного использования устройства, рассказать о том, что пользователь делал с устройством в тот или иной момент времени и даже в каких условиях оно находилось.

Когда речь заходит о цифровых доказательствах, внимание почти всегда приковано к смартфонам. Иногда — к планшетам. Всё остальное из экосистемы — Apple Watch, Apple TV, HomePod, даже старые iPod Touch — часто остаётся за кадром. Между тем, такие устройства вполне могут хранить полезную информацию: журналы активности, сетевые пароли, остатки переписок, ключи, логи и даже фотографии. Однако даже если данные в таких устройствах есть, далеко не всегда их удастся извлечь быстро и с минимальными усилиями. Где-то поможет checkm8, где-то — только логический доступ, а в каких-то случаях все усилия будут напрасны. В этой статье — практический разбор: что реально можно получить с таких «второстепенных» устройств Apple, насколько это сложно и когда вообще стоит за них браться.

При работе с мобильными устройствами Apple важна правильная последовательность переходов в различные режимы. Особенно это касается режима DFU (Device Firmware Update), который необходим для извлечения данных с помощью эксплойта checkm8. Попасть в этот режим не так просто — нужна специфическая последовательность нажатий с точным соблюдением таймингов. Если что-то пойдет не так, устройство может просто перезагрузиться, что может привести к крайне нежелательным последствиям. В этой статье объясним, почему перевод в DFU лучше начать с режима восстановления Recovery Mode.