Статьи по ключевому слову ‘EIFT’

В последние годы процесс извлечения данных с использованием iOS Forensic Toolkit (EIFT) претерпел значительные изменения. Предыдущая ветка продукта, линейка EIFT 7, прекрасно работала и была тщательно отлажена. В то же время её доступность была ограничена; фактически, линейка EIFT 7 представляла собой набор скриптов, который автоматизировал использование нескольких включённых в состав продукта утилит и давала пользователю простое текстовое меню, не требуя от него навыков использования каждой отдельной утилиты. В EIFT 8 появилось много новых возможностей, которые вышли за пределы простого текстового меню.

При низкоуровневом извлечении данных из устройств под управлением iOS с использованием эксплойта checkm8 иногда может потребоваться удалить (сбросить) код блокировки экрана. Сброс кода блокировки приводит к ряду нежелательных последствий; по возможности данной процедуры желательно избегать. В этой статье мы расскажем, при каких обстоятельствах требуется сбрасывать код блокировки экрана, когда этого можно избежать, к каким последствиям это приводит и почему даже сброс пароля не всегда помогает извлечь данные.

Мы не раз и не два писали о паролях, которыми могут быть защищены резервные копии, создаваемые устройствами под управлением iOS и iPadOS. Из множества разрозненных статей трудно составить цельное впечатление о том, что из себя представляют эти пароли, на что влияют, как их восстановить, можно ли их сбросить и в каких случаях это нужно делать — а когда не нужно категорически. В этой статье мы подводим итог многолетних исследований этой области и даём конкретные рекомендации по работе с паролями.

С выходом iOS 16 процесс извлечения данных из многих устройств, для которых доступен низкоуровневый метод с использованием уязвимости загрузчика, стал более сложным из-за ряда изменений как в сопроцессоре Secure Enclave, так и в структуре файловой системы системного RAM-диска. Благодаря последним усовершенствованиям в iOS Forensic Toolkit нам удалось добавить поддержку этого поколения iOS в редакции для Linux и заметно улучшить работу в редакции для macOS.

В обновлении iOS Forensic Toolkit у пользователей Windows появилась возможность монтировать образы данных в формате HFS, извлечённые из 32-разрядных устройств Apple в рамках низкоуровневого анализа. Новая возможность позволит экспертам-криминалистам, использующим компьютеры с Windows, получить полный доступ к файловой системе путём монтирования образов разделов HFS.

При оборудовании лаборатории для цифровой криминалистики исключительно важно наличие широкого набора инструментов. Выбрать единственный «правильный» продукт невозможно практически: различные инструменты имеют разную специализацию, а специфика их использования подразумевает внимательность и дополнительные проверки. Сегодня мы поговорим о том, как один из лучших инструментов для извлечения данных iOS Forensic Toolkit использовать совместно с аналитическим продуктом Cellebrite Physical Analyzer.

Elcomsoft iOS Forensic Toolkit (EIFT) — чрезвычайно мощный продукт, предназначенный для извлечения данных из различных устройств Apple, от iPhone до HomePod. Но если в простейших случаях для использования продукта достаточно единственного кабеля Lightning, то максимально раскрыть возможности инструментария невозможно без некоторых дополнительных аксессуаров. В этой статье мы рассмотрим обязательные и дополнительные аксессуары, которые необходимы для эффективного использования продукта.

В настоящем руководстве приведены подробные инструкции по установке и настройке агента-экстрактора. Агент-экстрактор — составная часть iOS Forensic Toolkit, предназначенная для низкоуровневого доступа и извлечения образа файловой системы и связки ключей из совместимых устройств Apple.

В очередном обновлении iOS Forensic Toolkit инструментарий для мобильной криминалистики вышел в редакции для Linux. В новой редакции поддерживаются как логический анализ, так и все доступные низкоуровневые методы извлечения, включая извлечение через эксплойт загрузчика, для которого ранее требовался компьютер с macOS. Новая редакция для Linux функционально идентична самой продвинутой редакции iOS Forensic Toolkit для Mac — за единственным исключением.

В свежей версии iOS Forensic Toolkit мы добавили поддержку извлечения данных из старых моделей Apple Watch от самой первой модели до Series 2 включительно (поддержка Apple Watch S3 присутствовала ранее). Каждый год выходит по новому поколению часов, но игнорировать значимость старых устройств было бы недальновидным в силу того, что они вновь и вновь появляются в лабораториях судебных экспертов. В отличие от конкурентов, мы удовлетворяем актуальные потребности экспертов, которым приходится иметь дело в том числе и со старыми устройствами.

НАШИ НОВОСТИ