Elcomsoft iOS Forensische Toolkit

Forensische toegang tot iPhone/iPad/iPod-apparaten waarop Apple iOS

wordt uitgevoerd Voer de volledige forensische acquisitie uit van gebruikersgegevens die zijn opgeslagen op iPhone/iPad / iPod-apparaten. Elcomsoft iOS Forensische Toolkit maakt het mogelijk om bestandssystemen van apparaten te maken, apparaatgeheimen (wachtwoorden, en encryptiesleutels) te extraheren en vergrendelde apparaten te benaderen via lockdown records.

zie Compatibele Apparaten en Platforms voor details.

fysieke acquisitie van iOS-apparaten

fysieke acquisitie is de enige acquisitiemethode om volledige toepassingsgegevens, beschermde sleutelhanger-items, gedownloade berichten en Locatiegeschiedenis te extraheren. Fysieke acquisitie retourneert meer informatie in vergelijking met logische acquisitie als gevolg van directe low-level toegang tot gegevens.

Elcomsoft iOS Forensic Toolkit ondersteunt jailbroken 64-bit apparaten (iPhone 5s en nieuwer) waarop de meeste versies van iOS draaien (afhankelijk van jailbreak beschikbaarheid). Het gebruik van een bootrom-gebaseerde jailbreak maakt gedeeltelijke bestandssysteem & sleutelhanger acquisitie voor BFU, vergrendelde en gehandicapte iPhone-modellen, variërend van de iPhone 5s tot iPhone X (via checkra1n jailbreak). Volledig bestandssysteem en complete sleutelhanger acquisitie voor ontgrendelde apparaten uit dit apparaatbereik.

volledige bestandssysteem extractie en Sleutelhanger decryptie zonder Jailbreak

een jailbreak-vrije extractiemethode gebaseerd op directe toegang tot het bestandssysteem is beschikbaar voor een beperkt aantal iOS-apparaten. Met behulp van een in-house ontwikkelde extractietool installeert deze acquisitiemethode een extractiemiddel op het apparaat dat wordt verworven. De agent communiceert met de computer van de expert en levert robuuste prestaties en een extreem hoge extractiesnelheid van 2,5 GB aan gegevens per minuut.

beter nog, agent-gebaseerde extractie is volledig veilig omdat het noch de systeempartitie wijzigt, noch het bestandssysteem opnieuw aankoppelt terwijl het automatische on-the-fly hashing uitvoert van informatie die wordt geëxtraheerd. Agent-based extraction brengt geen wijzigingen aan in gebruikersgegevens en biedt forensisch correcte extractie.

zowel het bestandssysteem image en alle sleutelhanger records worden geëxtraheerd en gedecodeerd. De op agenten gebaseerde extractiemethode levert solide prestaties en resulteert in Forensisch correcte extractie. Het verwijderen van het middel uit het apparaat na de extractie neemt een druk op de knop.

u kunt het volledige bestandssysteem extraheren of gebruik maken van de expressextractie optie, alleen bestanden ophalen van de gebruikerspartitie. Door het overslaan van bestanden die zijn opgeslagen in de systeempartitie van het apparaat, de express extraction optie helpt bij het verminderen van de tijd die nodig is om het werk te doen en snijden opslagruimte door verschillende gigabytes aan statische inhoud.

voor het installeren en ondertekenen van de extractieagent is een Apple ID vereist die is geregistreerd in het Apple Developer Program. De Mac edition laat deze eis vallen, waardoor het mogelijk is om een gewone Apple ID te gebruiken voor het ondertekenen en sideloaden van de extractie agent op het iOS-apparaat.

ontgrendelen en Imaging van oudere apparaten: iPhone 4, 5 en 5c

toegangscode unlock en imaging ondersteuning zijn beschikbaar voor oudere iPhone-modellen.

de Toolkit kan worden gebruikt om versleutelde iPhone 4 -, 5-en 5c-apparaten te ontgrendelen die beschermd zijn met een onbekende toegangscode voor schermvergrendeling door te proberen de originele 4-cijferige of 6-cijferige pincode te herstellen. Deze DFU-aanval werkt met de snelheid van 13.6 wachtwoorden per seconde op iPhone 5 en 5c-apparaten, en duurt slechts 12 minuten om een iPhone te ontgrendelen die is beschermd met een 4-cijferige pinnen. 6-cijferige pinnen zal tot 21 uur duren. Een slimme aanval zal automatisch worden gebruikt om te proberen deze keer zoveel mogelijk te snijden. In minder dan 4 minuten zal het gereedschap enkele duizenden meest gebruikte wachtwoorden proberen, zoals 000000, 123456 of 121212, gevolgd door 6-cijferige pinnen op basis van de geboortedata. Met 74.000 van die, de slimme aanval duurt ongeveer 1,5 uur. Als het nog steeds niet lukt, wordt de volledige brute kracht van de rest van de wachtwoorden gestart. (Notitie: passcode recovery draait met de snelheid van 6.6 wachtwoorden per seconde op de iPhone 4).

volledige fysieke acquisitie is beschikbaar voor oudere iOS-apparaten, waaronder de iPhone 4, 5 en 5c. Voor alle ondersteunde modellen kan de Toolkit De bit-precieze afbeelding van de gebruikerspartitie extraheren en de sleutelhanger decoderen. Als het apparaat iOS 4 tot en met 7 draait, kan de imaging zelfs worden uitgevoerd zonder de toegangscode van het scherm te breken, terwijl apparaten met iOS 8 tot en met 10 vereisen dat de toegangscode eerst wordt gebroken. Voor alle ondersteunde modellen kan de Toolkit de gebruikerspartitie en de sleutelhanger extraheren en decoderen.

opmerkingen: alleen Mac-Editie; iPhone 4s wordt niet ondersteund. Voor iOS 4 tot en met 7, passcode herstel is niet vereist voor apparaat imaging. Voor iOS 8 en 9, moet de toegangscode worden hersteld voordat beeldvorming (anders, beperkte BFU extractie beschikbaar).

logische acquisitie

iOS Forensische Toolkit ondersteunt logische acquisitie, een eenvoudiger en veiliger acquisitiemethode in vergelijking met fysieke. Logische acquisitie produceert een standaard iTunes-stijl back-up van informatie die is opgeslagen in het apparaat, trekt media en gedeelde bestanden en haalt systeem crash logs. Terwijl logische acquisitie geeft minder informatie dan fysieke, deskundigen worden aanbevolen om een logische back-up van het apparaat te maken voordat u meer invasieve acquisitie technieken.

we raden altijd aan logische acquisitie te gebruiken in combinatie met fysiek om alle mogelijke soorten bewijs veilig te extraheren.

Media en gedeelde bestanden

pak snel mediabestanden uit zoals Camerarollen, boeken, spraakopnames en iTunes-mediabibliotheek. In tegenstelling tot het maken van een lokale back-up, die een potentieel langdurige operatie zou kunnen zijn, media-extractie werkt snel op alle ondersteunde apparaten. Extractie van vergrendelde apparaten is mogelijk met behulp van een koppeling record (lockdown bestand).

naast mediabestanden kan iOS Forensic Toolkit opgeslagen bestanden van meerdere apps extraheren, waarbij cruciaal bewijs wordt geëxtraheerd zonder jailbreak. Pak Adobe Reader en Microsoft Office lokaal opgeslagen documenten, minikeepass wachtwoord database, en nog veel meer. De extractie vereist een ontgrendeld apparaat of een niet verlopen lockdown record.

fysieke en logische acquisitie uitvoeren van iPhone -, iPad-en iPod Touch-apparaten. Image device file system, extract device secrets (wachtwoorden, encryptiesleutels en beschermde gegevens) en decoderen van het bestandssysteem image.

Geef een antwoord

Het e-mailadres wordt niet gepubliceerd.