КОМПЬЮТЕРНАЯ КРИМИНАЛИСТИКА

Elcomsoft iOS Forensic Toolkit

Криминалистический анализ устройств iPhone/iPad/iPod на основе Apple iOS

Elcomsoft iOS Forensic Toolkit – специализированный продукт для криминалистического исследования устройств на основе Apple iOS. iOS Forensic Toolkit позволяет экспертам правоохранительных органов производить сбор информации и проводить судебные и компьютерно-технические экспертизы устройств iPhone, iPad и iPod производства компании Apple, работающих под управлением iOS.

С помощью iOS Forensic Toolkit возможно получить полный доступ к информации, хранящейся в поддерживаемых устройствах. С помощью iOS Forensic Toolkit специалисты могут получить доступ к расшифрованному образу файловой системы устройства, расшифровать коды, пароли и прочую защищённую информацию. Доступ к основному массиву данных осуществляется в режиме реального времени.

Поддерживаемые методы извлечения:

  • Расширенный логический анализ (резервные копии, медиа-файлы, системные журналы, файлы приложений) (для всех устройств и всех версий iOS)
  • Агент-экстрактор (для всех 64-бит устройств, совместимых версий iOS)
  • checkm8 (в стадии бета-тестирования) (совместимые устройства, все версии iOS за исключением 7.x)
  • Посредством джейлбрейка (для всех устройств и версий iOS, для которых доступен джейлбрейк)
  • Взлом кода блокировки, физический анализ (совместимые 32-разрядные устройства)

Возможности продукта

  • Универсальное решение «всё в одном» для логического и низкоуровневого извлечения данных
  • Извлечение файловой системы независимо от версии iOS для устройств от iPhone 5s до iPhone X включительно через Bootrom
  • Взлом кода блокировки экрана из 4 и 6 цифр для iPhone 4, 5 и iPhone 5c через режим DFU
  • Снятие и расшифровка образа раздела данных для моделей iPhone 4, 5 и 5с
  • Извлечение файловой системы и расшифровка Связки ключей посредством агента-экстрактора без джейлбрейка
  • Частичное извлечение файловой системы и Связки ключей в режиме BFU (до первой разблокировки) для устройств поколений iPhone 5s...iPhone X с заблокированным экраном сразу после включения или перезагрузки
  • Доступ к полному массиву информации
  • Извлечение информации из устройств-компаньонов Apple Watch и приставок Apple TV
  • Обеспечивается аутентичность исследуемой информации
  • Поддерживаемые методы извлечения данных: низкоуровневое извлечение файловой системы для 64-разрядных устройств с джейлбрейком и без него, логическое извлечение для всех типов устройств
  • Получение подробной информации об устройстве и учётной записи пользователя
  • Извлечение медиа-файлов: фотографий, видео, книг и файлов из iTunes, даже если на резервную копию установлен пароль
  • Извлечение файлов приложений
  • Восстановление данных системного хранилища (keychain), паролей и зашифрованных данных
  • Автоматическое ведение журнала всех следственных действий
  • Поддержка всех моделей устройств с доступным джейлбрейком
  • Поддержка последних версий iOS и актуального модельного ряда устройств в режиме логического извлечения
  • Доступны версии для Mac и Windows

Преимущества низкоуровневого доступа

Благодаря низкоуровневому доступу к устройству, iOS Forensic Toolkit может извлечь заметно больше информации, чем доступно в резервных копиях. Расшифровываются такие данные, как пароли к сайтам из связки ключей keychain, SMS, электронная почта, логины и пароли к программам.

Использование уязвимости в коде загрузчика ряда моделей iPhone и iPad (поколения с iPhone 5s до iPhone X включительно) позволяют проводить частичное извлечение файловой системы и Связки ключей в режиме BFU (до первой разблокировки) для устройств с заблокированным экраном сразу после включения или перезагрузки. Для устройств, работающих под управлением iOS 14, извлечение образа файловой системы и расшифровка Связки ключей доступны для моделей iPhone 6s, iPhone 6s Plus и первого поколения iPhone SE, включая частичное извлечение в режиме "до первой разблокировки".

Среди криминалистически важных данных содержится такая информация, как географическое положение устройства в каждый момент времени, карты и маршруты, рассчитанные с помощью Google Maps, история посещений интернет ресурсов, а также практически вся информация, набранная на устройстве с помощью виртуальной клавиатуры.

Криминалистически чистое извлечение через эксплойт загрузчика для ряда моделей

В Elcomsoft iOS Forensic Toolkit 8.0 для компьютеров Mac доступен режим криминалистически чистого извлечения через эксплойт загрузчика. В этом режиме доступно извлечение данных из моделей iPhone 5s, iPhone 6, 6 Plus, 6s, 6s Plus и iPhone SE первого поколения, работающих под управлением любых версий iOS за исключением iOS 7.x, включая версии iOS 14 и 15.

Новый метод извлечения гарантирует криминалистическую чистоту и неизменность извлекаемых данных, а также повторяемость результатов при точном следования инструкции. Для работы метода не требуется загрузка оригинальной версии операционной системы iPhone; никакие данные на устройстве не модифицируются.

Важное отличие метода, использующего эксплойт загрузчика от других низкоуровневых методов анализа – доказываемая идентичность повторно извлечённых данных, полученных спустя время в новой сессии работы с устройством. Это означает, что после использования метода можно провести повторное извлечение и получить полностью идентичный результат (при условии, что устройство не включалось и не перезагружалось после первого извлечения, а было сразу выключено и оставалось выключенным до следующей сессии).

Преимущества нашего решения:

  • Гарантированная целостность и неизменность всех разделов устройства.
  • Повторяемый, верифицируемый результат с вычислением контрольной суммы.
  • Любые модификации происходят только в оперативной памяти устройства.
  • Интерактивные инструкции по установке эксплойта.
  • Поддержка всех версий iOS от 8.0 до 15.1 включительно.
  • Поддержка заблокированных устройств в режиме BFU, обход ограничений USB.

Поддержка 64-разрядных устройств

Уникальный механизм низкоуровневого доступа позволяет извлечь существенное количество информации из устройств, оборудованных сопроцессором Secure Enclave. Извлекается как полный образ файловой системы устройства в формате TAR, так и содержимое Связки ключей. Для устройств поколений iPhone 5s...iPhone X извлечение файловой системы и расшифровка Связки ключей доступны независимо от установленной на устройство версии iOS. Для ряда устройств поддерживается извлечение посредством агента-экстрактора, остальные устройства поддерживаются через джейлбрейк.

Взлом кода блокировки и физический анализ iPhone 4, 5 и 5c

Для старых моделей iPhone, включающих модели iPhone 4, 5 и 5c, доступна полноценная поддержка, включающая как взлом кода блокировки, так и создание точного образа раздела данных, извлечение и расшифровку Связки ключей.

Инструментарий позволяет подобрать код блокировки экрана к смартфонам iPhone 4, 5 и iPhone 5c, что позволяет разблокировать такие устройства с неизвестным паролем. Атака работает через режим обновления прошивки DFU с максимально возможной скоростью. Всё, что требуется для её проведения - компьютер под управлением macOS и обычный кабель USB - Lightning (кабели Lightning - Type-C не поддерживаются).

Скорость перебора паролей - максимально возможная для аппаратной платформы, и составляет 13.6 паролей в секунду для iPhone 5 и 5с, 6.6 паролей в секунду для iPhone 4. Все возможные комбинации паролей из 4 цифр перебираются за 12 минут (iPhone 5/5c) или 26 минут (iPhone 4).

Пароли, состоящие из 6 цифр, перебираются в течение 21 часа, однако реальное время разблокировки может быть значительно меньше. В процессе атаки инструментарий в первую очередь опробует самые распространённые пароли, во вторую – пароли, в которых может быть закодирована дата рождения. Лишь в том случае, если не сработает ни одна из этих атак, время отработки которых составляет полтора часа, программа включит режим полного перебора.

Возможность взлома кода блокировки доступна исключительно в редакции для Mac.

Обратите внимание: Поддержка iPhone 4, 5 и 5c доступна исключительно в редакции для Mac. iPhone 4s не поддерживаются. Для моделей, работающих под управлением iOS 4-7, физический анализ возможен без взлома кода блокировки.

Извлечение файловой системы и Связки ключей без джейлбрейка

Альтернативой установке джейлбрейка является метод, разработанный специалистами "Элкомсофт". Для получения низкоуровневого доступа к данным устройств iPhone и iPad используется специализированная программа-агент. Использование агента-экстрактора позволяет быстро, эффективно и максимально безопасно извлечь полный образ файловой системы и расшифровать Связку ключей с использованием программного агента собственной разработки.

Для работы агента нет необходимости искать и устанавливать сторонний джейлбрейк. Использование агента собственной разработки позволяет сделать процесс анализа значительно более удобным и совершенно безопасным. Агент не модифицирует системный раздел устройства и пользовательские данные, не перемонтирует файловую систему и не оставляет явных следов работы; худшее, что может произойти с устройством – перезагрузка в штатном режиме. При извлечении данных автоматически подсчитываются и сохраняются хэш-суммы. Кроме того, использование агента позволило добиться максимально возможной для каждой модели скорости передачи данных – до 2.5 ГБ в минуту. По завершении работы агент удаляется с устройства одной командой.

Помимо полного извлечения файловой системы доступен режим экспресс-извлечения. В этом режиме из файловой системы извлекаются только данные пользователя, но не файлы операционной системы. В системном разделе iOS содержатся исполняемые файлы и библиотеки, необходимые для работы операционной системы. За исключением случаев, когда пользователь устанавливает на устройство джейлбрейк, содержимое системного раздела совпадает на устройствах одной и той же модели, работающих под управлением одной и той же версии iOS, и не представляет ценности для расследования. Экспресс-режим позволяет сэкономить время и место на диске и упростить анализ извлечённых данных.

Агент-экстрактор демонстрирует высокую скорость, надёжность и совместимость, но для его установки требуется зарегистрировать Apple ID в программе Apple для разработчиков. В версии iOS Forensic Toolkit для Mac регистрация в программе для разработчиков рекомендуется, но не обязательна; для установки агента и извлечения данных можно использовать и обычные Apple ID.

Извлечение данных из Apple Watch и Apple TV

Решение ElcomSoft для извлечения данных из Apple Watch – единственное на рынке. Единственная альтернатива использованию iOS Forensic Toolkit – создание резервной копии iPhone, к которому привязаны часы Apple Watch. Извлечение данных непосредственно из часов Apple Watch позволяет оперативно получить доступ к важной информации, включая фотографии с метаданными EXIF, включающими данные о местоположении. В устройствах Apple Watch и Apple TV не предусмотрены локальные резервные копии в формате iTunes. Соответственно, в список доступных для извлечения данных входят медиа-файлы, системные журналы crash logs, данные приложений и информация об устройстве. Для доступа к данным часов Apple Watch необходимо проводное подключение устройства к компьютеру через отладочные контакты с использованием стороннего отладочного кабеля IBUS.

С устройств Apple TV зачастую возможно извлечение фотографий, если в учётной записи пользователя активирован сервис iCloud Photos. Устройства Apple TV не могут быть защищены кодом блокировки, что позволяет извлечь фотографии даже в случаях, когда телефон пользователя заблокирован, а пароль от iCloud неизвестен. Кроме того, для устройств Apple TV поддерживается извлечение Связки ключей.

Логическое извлечение данных

У низкоуровневого метода извлечения данных есть ограничения: доступ к современным устройствам возможен только после установки джейлбрейка, который может быть не доступен для некоторых комбинаций аппаратного и программного обеспечения. Эти ограничения возможно обойти, использовав логическое извлечение данных.

Данные, полученные в результате логического извлечения, можно проанализировать в Elcomsoft Phone Viewer или сторонних приложениях, поддерживающих формат данных iTunes. Если полученная резервная копия зашифрована неизвестным паролем, нужно использовать Elcomsoft Phone Breaker для подбора пароля и расшифровки данных.

Если пароль на резервную копию не установлен, iOS Forensic Toolkit автоматически установит временный пароль «123», который сбрасывается по завершении процедуры. Использование временного пароля позволит успешно расшифровать keychain, который в противном случае был бы зашифрован аппаратным ключом.

Если устройство заблокировано неизвестным паролем, продукт может использовать для разблокировки lockdown-файлы, создаваемые на компьютере пользователя для упрощения авторизации. Файлы Lockdown действуют до первой перезагрузки устройства.

При помощи iOS Forensic Toolkit можно быстро извлечь полный набор медиа-файлов, включая фотографии, видеоролики, книги и другие медиа-данные. Данный режим предлагает оперативную альтернативу созданию резервных копий. Медиа-файлы успешно извлекаются во всех случаях, даже если установлен неизвестный пароль на резервные копии iTunes. Возможно извлечение из заблокированных устройств посредством lockdown-записей.

Поддержка заблокированных устройств

Если экран устройства заблокирован неизвестным паролем, но на устройстве установлен джейлбрейк, с помощью iOS Forensic Toolkit можно извлечь ограниченное количество данных: информацию о входящих звонках и SMS, WAL-файлы, системные журналы и журналы приложений, а также уведомления и входящие сообщения, полученные некоторыми программами для мгновенного обмена сообщениями в то время, когда экран устройства был заблокирован. Для просмотра извлечённой с помощью iOS Forensic Toolkit связки ключей keychain потребуется использовать Elcomsoft Phone Breaker.

При использовании логического извлечения разблокирование устройства возможно с помощью lockdown-файлов, извлечённых из компьютера пользователя.

При наличии lockdown-файла, из устройств под управлением iOS возможно извлечь дополнительную информацию даже в тех случаях, когда устройство ни разу не разблокировалось с момента включения или перезагрузки. Для устройств под управлением iOS 8 .. iOS 14.х:

Базовая информация об устройстве Расширенная информация об устройстве Список приложений Медиа-файлы Резервная копия в формате iTunes
Устройство заблокировано, lockdown-файл отсутствует Да Нет Нет Нет Нет
Устройство ни разу не разблокировалось с момента перезагрузки; есть lockdown-файл Да Да Нет Нет Нет
Устройство хотя бы один раз разблокировалось с момента перезагрузки; есть lockdown-файл Да Да Да Да Да

Поддержка режимов DFU и Recovery

Поддержка режимов обновления прошивки (DFU) и восстановления (recovery) позволяет анализировать устройства, заблокированные после десяти неудачных попыток разблокировки, а также устройства с активированным режимом ограничений USB. Из устройств в режиме восстановления можно извлечь информацию об идентификаторе модели, ECID/UCID, серийном номере устройства, а в некоторых случаях - и его IMEI. Кроме того, в режиме восстановления определяется версия загрузчика (bootloader), что позволяет определить точную версию iOS либо диапазон версий iOS, под управлением которых может работать устройство.

Расшифровка данных «на лету»

В отличие от ранее используемых методов расшифровки, Elcomsoft iOS Forensic Toolkit работает с устройством напрямую, что позволяет расшифровывать данные «на лету». При наличии исследуемого устройства становится возможным извлечь из устройства оригинальные ключи, с помощью которых были зашифрованы данные. С помощью этих ключей расшифровка осуществляется в реальном времени – практически мгновенно.

Восстановление данных системного хранилища (keychain)

Elcomsoft iOS Forensic Toolkit предоставляет криминалистам полный доступ к информации, хранящейся в защищённом системном хранилище (keychain). В системном хранилище записываются такие данные, как логины и пароли к сайтам, почте, программам и прочим ресурсам. Расшифровка данных из keychain должна осуществляться на устройстве, экран которого остаётся разблокированным в течение всего процесса. Для поддержания экрана в разблокированном состоянии в состав iOS Forensic Toolkit включена соответствующая утилита, отключающая автоматическую блокировку экрана.

Если пароль блокировки неизвестен: доступ посредством lockdown-файлов

При извлечении данных из заблокированного устройства доступ к информации можно получить с помощью актуального lockdown-файла, извлечённого из компьютера пользователя. Для использования lockdown-файла после перезагрузки устройства необходимо разблокировать устройство паролем.

Для заблокированных устройств поколений iPhone 5s...iPhone X с неизвестным паролем блокировки доступен специальный режим частичного извлечения файловой системы. Режим доступен при использовании джейлбрейка checkra1n независимо от установленной версии iOS. Данный режим подходит и для устройств, находящихся в защитном режиме USB restricted mode.

Системные требования

iOS Forensic Toolkit для Mac OS X работает на компьютерах Mac с архитектурой процессоров Intel. Поддерживается система macOS с версии 10.12 по 10.15.

Версия для Microsoft Windows работает на компьютерах под управлением Windows 7, 8, 8.1, 10. Требуется установка последней версии iTunes.

Работа программы в других версиях Windows и macOS возможна, но не гарантируется.

iOS Forensic Toolkit для macOS работает на компьютерах Mac с архитектурой процессоров Intel. Поддерживаются версии macOS с 10.12 (Sierra) по 10.15 (Catalina) с установленным приложением iTunes последней версии. Версия для Windows работает на компьютерах с 32- и 64-разрядными версиями Windows 10, Windows 8/8.1 и Windows 7 с последней версией iTunes (автономная версия или установленная из Microsoft Store). Работа программы в других версиях Windows и macOS возможна, но не гарантируется.

Совместимые устройства и платформы

iOS Forensic Toolkit поддерживает низкоуровневое извлечение из моделей iPhone 5s - iPhone 12, 12 Pro, iPhone 12 mini и iPphone 12 Pro Max. Логическое извлечение доступно для всех моделей.

Таблица совместимости:

  • Агент-экстрактор (без джейлбрейка): Извлечение файловой системы и Связки ключей для iOS 9 - 14.3. Также поддерживаются соответствующие модели iPad. Регистрация в программе Apple для разработчиков: обязательно (Windows)/опционально (macOS).
  • Взлом кода блокировки: Для моделей iPhone 5 и iPhone 5c через режим DFU (только версия для macOS).
  • Для старых моделей (iPhone 4, 5 и 5c): Взлом кода блокировки, снятие и расшифровка образа раздела данных, извлечение и расшифровка Связки ключей (только в редакции для macOS).
  • С джейлбрейком: Для любой версии iOS, для которой доступен джейлбрейк.
  • С джейлбрейком, использующим уязвимость загрузчика: Частичное извлечение файловой системы и Связки ключей для устройств в состоянии BFU, заблокированных моделей iPhone от iPhone 5s до iPhone X (джейлбрейк checkra1n). Полное извлечение файловой системы и Связки ключей для моделей, экран которых может быть разблокирован.
  • Без джейлбрейка: Логическое извлечение, включая информацию об устройстве, резервные копии, файлы приложений, медиа-файлы и некоторые системные журналы, доступно для всех устройств независимо от версии iOS. Экран устройства должен быть разблокирован либо (для режима AFU и при условии, что не был активирован защитный режим USB) если доступен действительный файл lockdown.
  • Прямое извлечение через уязвимость загрузчика: Гарантированная криминалистическая чистота извлечение; повторяемый, верифицируемый результат. Доступно для ряда моделей iPhone, к которым применим эксплойт уязвимости загрузчика checkm8. Извлечение образа файловой системы (все версии iOS) и связки ключей (за исключением iOS 15).

Специализированный инструмент для извлечения данных из устройств, работающих под управлением Apple iOS методами физического и логического анализа.