Низкоуровневое извлечение — единственный способ добраться до максимально полной информации, хранящейся в устройствах iOS/iPadOS. В очередном обновлении iOS Forensic Toolkit мы улучшили механизм установки агента, добавив установку с компьютеров Windows и Linux с использованием обычных учётных записей Apple ID.

О программе Apple для разработчиков в контексте мобильной криминалистики мы писали неоднократно. Учётная запись Apple ID нужна для установки на исследуемое устройство агента-экстрактора, позволяющего получить доступ к файловой системе и связке ключей. В руководстве к iOS Forensic Toolkit мы усиленно рекомендуем зарегистрировать учётную запись в качестве разработчика. В чём смысл этой регистрации, для чего эксперту-криминалисту нужно становиться «зарегистрированным разработчиком» и можно ли без этого обойтись?

iOS Forensic Toolkit поставляется в трёх редакциях — для компьютеров с операционными системами macOS, Windows и Linux. Между тремя редакциями есть масса различий, и далеко не только функциональных. В этой статье мы расскажем, в чём разница между редакциями, какую редакцию стоит выбрать и почему.

В последние годы процесс извлечения данных с использованием iOS Forensic Toolkit (EIFT) претерпел значительные изменения. Предыдущая ветка продукта, линейка EIFT 7, прекрасно работала и была тщательно отлажена. В то же время её доступность была ограничена; фактически, линейка EIFT 7 представляла собой набор скриптов, который автоматизировал использование нескольких включённых в состав продукта утилит и давала пользователю простое текстовое меню, не требуя от него навыков использования каждой отдельной утилиты. В EIFT 8 появилось много новых возможностей, которые вышли за пределы простого текстового меню.

При низкоуровневом извлечении данных из устройств под управлением iOS с использованием эксплойта checkm8 иногда может потребоваться удалить (сбросить) код блокировки экрана. Сброс кода блокировки приводит к ряду нежелательных последствий; по возможности данной процедуры желательно избегать. В этой статье мы расскажем, при каких обстоятельствах требуется сбрасывать код блокировки экрана, когда этого можно избежать, к каким последствиям это приводит и почему даже сброс пароля не всегда помогает извлечь данные.

Мы не раз и не два писали о паролях, которыми могут быть защищены резервные копии, создаваемые устройствами под управлением iOS и iPadOS. Из множества разрозненных статей трудно составить цельное впечатление о том, что из себя представляют эти пароли, на что влияют, как их восстановить, можно ли их сбросить и в каких случаях это нужно делать — а когда не нужно категорически. В этой статье мы подводим итог многолетних исследований этой области и даём конкретные рекомендации по работе с паролями.

С выходом iOS 16 процесс извлечения данных из многих устройств, для которых доступен низкоуровневый метод с использованием уязвимости загрузчика, стал более сложным из-за ряда изменений как в сопроцессоре Secure Enclave, так и в структуре файловой системы системного RAM-диска. Благодаря последним усовершенствованиям в iOS Forensic Toolkit нам удалось добавить поддержку этого поколения iOS в редакции для Linux и заметно улучшить работу в редакции для macOS.

В обновлении iOS Forensic Toolkit у пользователей Windows появилась возможность монтировать образы данных в формате HFS, извлечённые из 32-разрядных устройств Apple в рамках низкоуровневого анализа. Новая возможность позволит экспертам-криминалистам, использующим компьютеры с Windows, получить полный доступ к файловой системе путём монтирования образов разделов HFS.

При оборудовании лаборатории для цифровой криминалистики исключительно важно наличие широкого набора инструментов. Выбрать единственный «правильный» продукт невозможно практически: различные инструменты имеют разную специализацию, а специфика их использования подразумевает внимательность и дополнительные проверки. Сегодня мы поговорим о том, как один из лучших инструментов для извлечения данных iOS Forensic Toolkit использовать совместно с аналитическим продуктом Cellebrite Physical Analyzer.

Elcomsoft iOS Forensic Toolkit (EIFT) — чрезвычайно мощный продукт, предназначенный для извлечения данных из различных устройств Apple, от iPhone до HomePod. Но если в простейших случаях для использования продукта достаточно единственного кабеля Lightning, то максимально раскрыть возможности инструментария невозможно без некоторых дополнительных аксессуаров. В этой статье мы рассмотрим обязательные и дополнительные аксессуары, которые необходимы для эффективного использования продукта.