Elcomsoft iOS Forensic Toolkit

Apple iOSを実行しているiPhone/iPad/iPodデバイスへのForensicアクセス

iPhone/iPad/iPodデバイスに保存されているユーザーデータの完全なforensic取得を実行します。 Elcomsoft iOS Forensic Toolkitは、イメージングデバイスのファイルシステム、デバイスの秘密(パスコード、パスワード、暗号化キー)の抽出、ロックダウンレコードを介したロックされたデ

詳細については、互換性のあるデバイスとプラットフォームを参照してください。

iOSデバイスの物理的な取得

物理的な取得は、完全なアプリケーションデータ、保護されたキーチェーンアイテム、ダウンロードしたメッセージ、位置履歴を抽出す 物理的な取得は、データへの直接の低レベルアクセスのために、論理的な取得と比較してより多くの情報を返します。

Elcomsoft iOS Forensic Toolkitは、ほとんどのバージョンのiOSを実行するジェイルブレイクされた64ビットデバイス(iPhone5s以降)をサポートしています(脱獄の可用性に応じて)。 Bootromベースの脱獄を使用すると、iPhone5sからiPhone XまでのBFU、ロックおよび無効なiPhoneモデル(checkra1n jailbreak経由)の部分ファイルシステム&キーチェーン取得が可能になります。 このデバイス範囲からのロック解除されたデバイスの完全なファイルシステムと完全なキーチェー

脱獄なしの完全なファイルシステム抽出とキーチェーン復号

ファイルシステムへの直接アクセスに基づく脱獄なしの抽出方法は、限られた範囲のiOSデ この取得方法は、自社開発の抽出ツールを使用して、取得するデバイスに抽出エージェントをインストールします。 エージェントは専門家のコンピュータと通信し、堅牢なパフォーマンスと毎分2.5GBのデータを超える非常に高い抽出速度を提供します。

さらに良いことに、エージェントベースの抽出は、抽出される情報の自動オンザフライハッシングを実行しながら、システムパーティションを変更したり、フ エージェントベースの抽出は、ユーザーデータに変更を加えず、法医学的に健全な抽出を提供します。

ファイルシステムイメージとすべてのキーチェーンレコードの両方が抽出され、復号化されます。 エージェントベースの抽出方法は、確かな性能を発揮し、法医学的に健全な抽出をもたらします。 抽出後に装置から薬剤を除去するには、ボタンを1回押す必要があります。

完全なファイルシステムを抽出するか、express extractionオプションを使用して、ユーザーパーティションからファイルのみを取得できます。 デバイスのシステムパーティションに保存されているファイルをスキップすることで、express extractionオプションは、ジョブを実行するのに必要な時間を短縮し、数ギガバイトの静的コンテンツのストレージスペースを削減するのに役立ちます。

extraction agentをインストールして署名するには、Apple Developer Programに登録されているApple IDが必要です。 Mac版ではこの要件がなくなり、抽出エージェントをiosデバイスに署名してサイドロードするために通常のApple IDを使用できるようになります。

レガシーデバイスのロック解除とイメージング: iphone4、5、および5c

パスコードのロック解除とイメージングのサポートは、従来のiPhoneモデルで利用可能です。

このツールキットは、元の4桁または6桁のPINを回復しようとすることにより、未知の画面ロックパスコードで保護された暗号化されたiPhone4、5、および5cデ このDFU攻撃は、iPhone5および5cデバイスで毎秒13.6パスコードの速度で動作し、4桁のPinで保護されたiPhoneのロックを解除するのにわずか12分かかります。 6桁のピンには最大21時間かかります。 スマート攻撃は、可能な限りこの時間を切断しようとするために自動的に使用されます。 4分以内に、このツールは、000000、123456、121212などの最も一般的に使用される数千のパスコードを試し、その後に生年月日に基づいて6桁のピンを試します。 これらのうち74,000では、スマート攻撃には約1.5時間かかります。 それでも失敗した場合は、残りのパスコードの完全なブルートフォースが開始されます。 (注:パスコードの回復は、iPhone4で毎秒6.6パスコードの速度で実行されます)。

iPhone4、5、5cを含む従来のiOSデバイスでは、完全な物理的な取得が可能です。 サポートされているすべてのモデルで、ツールキットはユーザーパーティションのビット精度のイメージを抽出し、キーチェーンを復号化できます。 デバイスがiOS4~7を実行している場合、画面ロックパスコードを壊さなくてもイメージングを実行できますが、iOS8~10を実行するデバイスでは、先にパスコードを壊す必要があります。 サポートされているすべてのモデルで、ツールキットはユーザーパーティションとキーチェーンを抽出して復号化できます。

注:Mac版のみ、iPhone4sはサポートされていません。 IOS4~7の場合、デバイスのイメージングにパスコードの回復は必要ありません。 IOS8および9の場合、パスコードはイメージングの前に回復する必要があります(それ以外の場合は、限られたBFU抽出が利用可能です)。

Logical Acquisition

iOS Forensic Toolkitは、物理的な取得方法に比べて簡単で安全なlogical acquisitionをサポートしています。 Logical acquisitionは、デバイスに保存された情報の標準的なiTunesスタイルのバックアップを生成し、メディアと共有ファイルを引き出し、システムクラッシュログ 論理集録は物理的な情報よりも少ない情報を返しますが、より侵襲的な集録技術を試す前に、専門家がデバイスの論理バックアップを作成するこ

すべての可能なタイプの証拠を安全に抽出するために、論理的な取得を物理的なものと組み合わせて使用することを常にお勧めします。

メディアと共有ファイル

カメラロール、書籍、音声録音、iTunesメディアライブラリなどのメディアファイルをすばやく抽出します。 ローカルバックアップを作成するのとは対照的に、メディア抽出は、サポートされているすべてのデバイスで迅速に動作します。 ロックされたデバイスからの抽出は、ペアリングレコード(ロックダウンファイル)を使用して可能です。

メディアファイルに加えて、iOS Forensic Toolkitは複数のアプリの保存されたファイルを抽出し、脱獄せずに重要な証拠を抽出することができます。 Adobe ReaderとMicrosoft Officeのローカルに保存されたドキュメント、MiniKeePassのパスワードデータベース、および多くを抽出します。 抽出には、ロック解除されたデバイスまたは期限切れでないロックダウンレコードが必要です。

iPhone、iPad、iPod Touchデバイスの物理的および論理的な取得を実行します。 イメージデバイスファイルシステムは、デバイスの秘密(パスワード、暗号化キーと保護されたデータ)を抽出し、ファイルシステムイメージを復号化します。

コメントを残す

メールアドレスが公開されることはありません。