Elcomsoft iOS Forensic Toolkit

Forensic tillgång till iPhone/iPad/iPod-enheter som kör Apple iOS

utför fullständig forensic förvärv av användardata som lagras i iPhone/iPad/iPod-enheter. Elcomsoft iOS Forensic Toolkit tillåter avbildningsenheternas filsystem, extraherar enhetshemligheter (lösenord, lösenord och krypteringsnycklar) och åtkomst till låsta enheter via låsningsposter.

se kompatibla enheter och plattformar för mer information.

fysiskt förvärv av iOS-enheter

fysiskt förvärv är den enda förvärvsmetoden för att extrahera fullständig applikationsdata, skyddade nyckelringsobjekt, nedladdade meddelanden och Platshistorik. Fysisk förvärv returnerar mer information jämfört med logisk förvärv på grund av direkt låg nivå tillgång till data.

Elcomsoft iOS Forensic Toolkit stöder jailbroken 64-bitars enheter (iPhone 5s och nyare) som kör de flesta versioner av iOS (beroende på Jailbreak tillgänglighet). Användningen av ett bootrom-baserat jailbreak möjliggör partiellt filsystem & nyckelringförvärv för BFU, låsta och inaktiverade iPhone-modeller som sträcker sig från iPhone 5s till iPhone X (via checkra1n jailbreak). Fullständigt filsystem och komplett nyckelringförvärv för olåsta enheter från det här enhetsområdet.

Full File System Extraction och Keychain dekryptering utan Jailbreak

en jailbreak-fri extraktionsmetod baserad på direkt åtkomst till filsystemet är tillgänglig för ett begränsat utbud av iOS-enheter. Med hjälp av ett internt utvecklat extraktionsverktyg installerar denna förvärvsmetod ett extraktionsmedel på enheten som förvärvas. Agenten kommunicerar med expertens dator, vilket ger robust prestanda och extremt hög extraktionshastighet som fyller 2,5 GB data per minut.

ännu bättre är agentbaserad extraktion helt säker eftersom den varken ändrar systempartitionen eller remounts filsystemet medan du utför automatisk on-the-fly hashing av information som extraheras. Agentbaserad extraktion gör inga ändringar i användardata och erbjuder rättsmedicinskt ljudutvinning.

både filsystembilden och alla nyckelringsposter extraheras och dekrypteras. Den agentbaserade extraktionsmetoden ger solid prestanda och resulterar i rättsmedicinskt ljudutvinning. Att ta bort agenten från enheten efter extraktionen tar ett tryck på en knapp.

du kan antingen extrahera hela filsystemet eller använda alternativet express extraction, bara hämta filer från användarpartitionen. Genom att hoppa över filer som är lagrade i enhetens systempartition hjälper alternativet express extraction att minska tiden som krävs för att göra jobbet och minska lagringsutrymmet med flera gigabyte statiskt innehåll.

installera och signera extraction agent kräver ett Apple-ID registrerat i Apple Developer Program. Mac-utgåvan släpper detta krav, vilket gör det möjligt att använda ett vanligt Apple-ID för signering och sidladdning av extraktionsmedlet på iOS-enheten.

Lås upp och avbilda äldre enheter: iPhone 4, 5 och 5c

Lösenordsupplåsning och bildstöd är tillgängliga för äldre iPhone-modeller.

verktygslådan kan användas för att låsa upp krypterade iPhone 4, 5 och 5c-enheter skyddade med ett okänt skärmlåslösenord genom att försöka återställa den ursprungliga 4-siffriga eller 6-siffriga PIN-koden. Denna DFU-attack fungerar med en hastighet på 13, 6 lösenord per sekund på iPhone 5 och 5c-enheter och tar bara 12 minuter att låsa upp en iPhone skyddad med 4-siffriga stift. 6-siffriga stift tar upp till 21 timmar. En smart attack kommer att användas automatiskt för att försöka skära den här gången så mycket som möjligt. På mindre än 4 minuter kommer verktyget att prova flera tusen vanligaste lösenkoder som 000000, 123456 eller 121212, följt av 6-siffriga stift baserat på födelsedatum. Med 74 000 av dem tar smart attack cirka 1,5 timmar. Om det fortfarande misslyckas initieras den fulla brute force för resten av lösenkoderna. (Obs: återställning av lösenord körs med en hastighet på 6,6 lösenkoder per sekund på iPhone 4).

fullt fysiskt förvärv är tillgängligt för äldre iOS-enheter inklusive iPhone 4, 5 och 5c. För alla modeller som stöds kan verktygslådan extrahera den bit-exakta bilden av användarpartitionen och dekryptera nyckelringen. Om enheten kör iOS 4 till 7 kan avbildningen utföras även utan att bryta skärmlåsets lösenord, medan enheter som kör iOS 8 till 10 kräver att lösenordet först bryts. För alla modeller som stöds kan verktygslådan extrahera och dekryptera användarpartitionen och nyckelringen.

anmärkningar: endast Mac edition; iPhone 4S stöds inte. För iOS 4 till 7 krävs inte återställning av lösenord för enhetsavbildning. För iOS 8 och 9 måste lösenordet återställas före avbildning (annars är begränsad BFU-extraktion tillgänglig).

logiskt förvärv

iOS Forensic Toolkit stöder logiskt förvärv, en enklare och säkrare förvärvsmetod jämfört med fysisk. Logisk förvärv producerar en vanlig iTunes – stil backup av information som lagras i enheten, drar media och delade filer och extraherar systemkraschloggar. Medan logiskt förvärv returnerar mindre information än fysiskt rekommenderas experter att skapa en logisk säkerhetskopia av enheten innan de försöker mer invasiva förvärvstekniker.

vi rekommenderar alltid att du använder logiskt förvärv i kombination med fysiskt för att säkert extrahera alla möjliga typer av bevis.

Media och delade filer

extrahera snabbt mediefiler som Kamerarulle, böcker, röstinspelningar och iTunes media library. I motsats till att skapa en lokal säkerhetskopia, vilket kan vara en potentiellt lång operation, fungerar Media extraction snabbt på alla enheter som stöds. Extraktion från låsta enheter är möjlig med hjälp av en parningspost (låsningsfil).

förutom mediefiler kan iOS Forensic Toolkit extrahera lagrade filer av flera appar, extrahera viktiga bevis utan jailbreak. Extrahera Adobe Reader och Microsoft Office lokalt lagrade dokument, minikeepass-lösenordsdatabas och mycket mer. Extraktionen kräver en olåst enhet eller en icke-utgått låsningspost.

utför fysiskt och logiskt förvärv av iPhone, iPad och iPod Touch-enheter. Bild enhet filsystem, extrahera enhet hemligheter (lösenord, krypteringsnycklar och skyddade data) och dekryptera filsystemet bilden.

Lämna ett svar

Din e-postadress kommer inte publiceras.