Elcomsoft iOS Forensic Toolkit

accesul criminalistic la dispozitivele iPhone/iPad/iPod care rulează Apple iOS

efectuați achiziția criminalistică completă a datelor Utilizatorului stocate pe dispozitivele iPhone/iPad/iPod. Elcomsoft iOS Forensic Toolkit permite sistemelor de fișiere ale dispozitivelor de imagistică, extragerea secretelor dispozitivului (coduri de acces, parole și Chei de criptare) și accesarea dispozitivelor blocate prin înregistrări de blocare.

consultați dispozitivele și platformele compatibile pentru detalii.

achiziția fizică a dispozitivelor iOS

achiziția fizică este singura metodă de achiziție pentru a extrage datele complete ale aplicației, elementele keychain protejate, mesajele descărcate și istoricul locațiilor. Achiziția fizică returnează mai multe informații în comparație cu achiziția logică datorită accesului direct la nivel scăzut la date.

Elcomsoft iOS Forensic Toolkit acceptă dispozitive jailbreak pe 64 de biți (iPhone 5s și mai noi) care rulează majoritatea versiunilor iOS (în funcție de disponibilitatea jailbreak). Utilizarea unui jailbreak bazat pe bootrom permite achiziționarea parțială a sistemului de fișiere & Keychain pentru modelele de iPhone BFU, blocate și dezactivate, de la iPhone 5s până la iPhone X (prin Jailbreak checkra1n). Sistem de fișiere complet și achiziție completă de chei pentru dispozitivele deblocate din această gamă de dispozitive.

extragerea completă a sistemului de fișiere și decriptarea brelocului fără Jailbreak

o metodă de extracție fără jailbreak bazată pe accesul direct la sistemul de fișiere este disponibilă pentru o gamă limitată de dispozitive iOS. Folosind un instrument de extracție dezvoltat intern, această metodă de achiziție instalează un agent de extracție pe dispozitivul achiziționat. Agentul comunică cu computerul expertului, oferind performanțe robuste și viteză de extracție extrem de mare, depășind 2,5 GB de date pe minut.

mai bine, extracția bazată pe agent este complet sigură, deoarece nu modifică partiția de sistem și nici nu remontează sistemul de fișiere în timp ce efectuează hashing automat al informațiilor extrase. Extracția pe bază de agenți nu aduce modificări datelor utilizatorului, oferind o extracție criminalistică a sunetului.

atât imaginea sistemului de fișiere, cât și toate înregistrările keychain sunt extrase și decriptate. Metoda de extracție pe bază de agent oferă performanțe solide și are ca rezultat extragerea sunetului criminalistic. Scoaterea agentului din dispozitiv după extracție are o singură apăsare a unui buton.

puteți fie să extrageți sistemul de fișiere complet, fie să utilizați opțiunea de extragere expresă, achiziționând numai fișiere din partiția utilizatorului. Prin omiterea fișierelor stocate în partiția de sistem a dispozitivului, opțiunea de extracție express ajută la reducerea timpului necesar pentru a face treaba și la reducerea spațiului de stocare cu mai mulți gigaocteți de conținut static.

instalarea și semnarea agentului de extracție necesită un ID Apple înregistrat în programul Apple Developer. Ediția Mac renunță la această cerință, permițând utilizarea unui ID Apple obișnuit pentru semnarea și încărcarea laterală a agentului de extracție pe dispozitivul iOS.

deblocarea și imagistica dispozitivelor vechi: iPhone 4, 5 și 5c

deblocarea codului de acces și suportul pentru imagini sunt disponibile pentru modelele iPhone vechi.

setul de instrumente poate fi utilizat pentru a debloca dispozitivele iPhone 4, 5 și 5c criptate protejate cu o parolă de blocare a ecranului necunoscută, încercând să recupereze codul PIN original din 4 cifre sau 6 cifre. Acest atac DFU funcționează la viteza de 13,6 coduri de acces pe secundă pe dispozitivele iPhone 5 și 5C și durează doar 12 minute pentru a debloca un iPhone protejat cu pini de 4 cifre. Pinii din 6 cifre vor dura până la 21 de ore. Un atac inteligent va fi folosit automat pentru a încerca tăierea de data aceasta cât mai mult posibil. În mai puțin de 4 minute, instrumentul va încerca câteva mii de coduri de acces cele mai frecvent utilizate, cum ar fi 000000, 123456 sau 121212, urmate de pini de 6 cifre pe baza datelor nașterii. Cu 74.000 dintre aceștia, atacul inteligent durează aproximativ 1,5 ore. Dacă încă nu reușește, este inițiată forța brută completă a restului codurilor de acces. (Notă: recuperarea codului de acces rulează la viteza de 6,6 coduri de acces pe secundă pe iPhone 4).

achiziția fizică completă este disponibilă pentru dispozitivele iOS vechi, inclusiv iPhone 4, 5 și 5c. Pentru toate modelele acceptate, setul de instrumente poate extrage imaginea precisă a partiției utilizatorului și poate decripta brelocul. Dacă dispozitivul rulează iOS 4 până la 7, imagistica poate fi efectuată chiar și fără a rupe parola de blocare a ecranului, în timp ce dispozitivele care rulează iOS 8 până la 10 necesită mai întâi ruperea parolei. Pentru toate modelele acceptate, setul de instrumente poate extrage și decripta partiția utilizatorului și brelocul.

Note: numai ediția Mac; iPhone 4S nu este acceptat. Pentru iOS 4 până la 7, recuperarea parolei nu este necesară pentru imagistica dispozitivului. Pentru iOS 8 și 9, parola trebuie recuperată înainte de imagistică (în caz contrar, este disponibilă o extracție limitată BFU).

achiziție logică

iOS Forensic Toolkit acceptă achiziția logică, o metodă de achiziție mai simplă și mai sigură în comparație cu cea fizică. Achiziția logică produce o copie de rezervă standard în stil iTunes a informațiilor stocate în dispozitiv, trage fișiere media și partajate și extrage jurnalele de blocare a sistemului. În timp ce achiziția logică returnează mai puține informații decât cele fizice, experții sunt recomandați să creeze o copie de rezervă logică a dispozitivului înainte de a încerca tehnici de achiziție mai invazive.

recomandăm întotdeauna utilizarea achiziției logice în combinație cu cea fizică pentru extragerea în siguranță a tuturor tipurilor posibile de dovezi.

Media și fișiere partajate

extrage rapid fișiere media, cum ar fi Camera Roll, cărți, înregistrări vocale, și iTunes Media library. Spre deosebire de crearea unei copii de rezervă locale, care ar putea fi o operațiune potențial de lungă durată, extracția media funcționează rapid pe toate dispozitivele acceptate. Extragerea de pe dispozitivele blocate este posibilă utilizând o înregistrare de asociere (fișier de blocare).

în plus față de fișierele media, iOS Forensic Toolkit poate extrage fișiere stocate de mai multe aplicații, extragerea dovezilor cruciale fără un jailbreak. Extrageți Adobe Reader și Microsoft Office documente stocate local, baza de date cu parole MiniKeePass și multe altele. Extragerea necesită un dispozitiv deblocat sau o înregistrare de blocare neexpirată.

efectuați achiziția fizică și logică a dispozitivelor iPhone, iPad și iPod Touch. Imagine sistem de fișiere dispozitiv, secretele dispozitiv extract (parole, chei de criptare și date protejate) și decripta imaginea sistemului de fișiere.

Lasă un răspuns

Adresa ta de email nu va fi publicată.