КОМПЬЮТЕРНАЯ КРИМИНАЛИСТИКА

Elcomsoft iOS Forensic Toolkit

Цена
Full version
$ 1495
Купить

версия: 7.50

Криминалистический анализ устройств iPhone/iPad/iPod на основе Apple iOS

Elcomsoft iOS Forensic Toolkit – специализированный продукт для криминалистического исследования устройств на основе Apple iOS. iOS Forensic Toolkit позволяет экспертам правоохранительных органов производить сбор информации и проводить судебные и компьютерно-технические экспертизы устройств iPhone, iPad и iPod производства компании Apple, работающих под управлением iOS.

С помощью iOS Forensic Toolkit возможно получить полный доступ к информации, хранящейся в поддерживаемых устройствах. С помощью iOS Forensic Toolkit специалисты могут получить доступ к расшифрованному образу файловой системы устройства, расшифровать коды, пароли и прочую защищённую информацию. Доступ к основному массиву данных осуществляется в режиме реального времени.

Поддерживаемые методы извлечения:

  • Расширенный логический анализ (резервные копии, медиа-файлы, системные журналы, файлы приложений) (для всех устройств и всех версий iOS)
  • Агент-экстрактор (для всех 64-бит устройств, совместимых версий iOS)
  • checkm8 (в стадии бета-тестирования) (совместимые устройства, все версии iOS за исключением 7.x)
  • Посредством джейлбрейка (для всех устройств и версий iOS, для которых доступен джейлбрейк)
  • Взлом кода блокировки, физический анализ (совместимые 32-разрядные устройства)

Возможности продукта

  • Универсальное решение «всё в одном» для логического и низкоуровневого извлечения данных
  • Извлечение файловой системы независимо от версии iOS для устройств от iPhone 5s до iPhone X включительно через Bootrom
  • Извлечение файловой системы независимо от версии iOS для планшетов iPad 5, 6 и 7 поколений, iPad Mini 2, 3 и 4 поколений, iPad Air 1 и 2, а также iPad Pro 1 и 2 поколений (с диагональю экрана 9.7” и 12.9” соответственно).
  • Извлечение файловой системы независимо от версии iOS для устройств iPod Touch 6 и 7 и Apple TV 4 и 4K.
  • Взлом кода блокировки экрана из 4 и 6 цифр для iPhone 4, 5 и iPhone 5c через режим DFU
  • Снятие и расшифровка образа раздела данных для моделей iPhone 4, 5 и 5с
  • Взлом кода блокировки экрана, снятие и расшифровка образа раздела данных для моделей iPhone 4s, iPod Touch 5, iPad 2 и 2 с использованием микроконтроллера Raspberry Pi Pico
  • Извлечение файловой системы и расшифровка связки ключей посредством агента-экстрактора без джейлбрейка
  • Частичное извлечение файловой системы и связки ключей в режиме BFU (до первой разблокировки) для устройств поколений iPhone 5s...iPhone X с заблокированным экраном сразу после включения или перезагрузки
  • Доступ к полному массиву информации
  • Извлечение информации из устройств-компаньонов Apple Watch и приставок Apple TV
  • Обеспечивается аутентичность исследуемой информации
  • Поддерживаемые методы извлечения данных: низкоуровневое извлечение файловой системы и расшифровка связки ключей для 64-разрядных устройств, логическое извлечение для всех типов устройств
  • Получение подробной информации об устройстве и учётной записи пользователя
  • Извлечение медиа-файлов: фотографий, видео, книг и файлов из iTunes, даже если на резервную копию установлен пароль
  • Извлечение файлов приложений
  • Восстановление данных системного хранилища (keychain), паролей и зашифрованных данных
  • Автоматическое ведение журнала всех следственных действий
  • Поддержка последних версий iOS и актуального модельного ряда устройств в режиме логического извлечения
  • Доступны версии для Mac и Windows

Преимущества низкоуровневого доступа

Благодаря низкоуровневому доступу к устройству, iOS Forensic Toolkit может извлечь заметно больше информации, чем доступно в резервных копиях. Расшифровываются такие данные, как пароли к сайтам из связки ключей keychain, SMS, электронная почта, логины и пароли к программам.

Использование уязвимости в коде загрузчика ряда моделей iPhone (поколения с iPhone 5s до iPhone X включительно) позволяют проводить частичное извлечение файловой системы в режиме BFU (до первой разблокировки) для устройств с заблокированным экраном сразу после включения или перезагрузки.

Среди важных для эксперта-криминалиста данных содержится такая информация, как географическое положение устройства в каждый момент времени, карты и маршруты, рассчитанные с помощью Google Maps, история посещений интернет ресурсов, а также практически вся информация, набранная на устройстве с помощью виртуальной клавиатуры.

Криминалистически чистое извлечение через эксплойт загрузчика для ряда моделей

В Elcomsoft iOS Forensic Toolkit 8.0 для компьютеров Mac доступен режим криминалистически чистого извлечения через эксплойт загрузчика. В этом режиме доступно извлечение данных из моделей iPhone 5s, iPhone 6, 6 Plus, 6s, 6s Plus и iPhone SE первого поколения, iPhone 7, 7 Plus, 8, 8 Plus и iPhone X, работающих под управлением любых версий iOS от iOS 8 до iOS 15.5. Также доступно извлечение файловой системы для планшетов iPad 5, 6 и 7 поколений, iPad Mini 2, 3 и 4 поколений, iPad Air 1 и 2, iPad Pro 1 и 2 поколений (с диагональю экрана 9.7” и 12.9” соответственно), устройств iPod Touch 6 и 7 и Apple TV 4 и 4K.

Новый метод извлечения гарантирует криминалистическую чистоту и неизменность извлекаемых данных, а также повторяемость результатов при точном следования инструкции. Для работы метода не требуется загрузка оригинальной версии операционной системы iPhone; никакие данные на устройстве не модифицируются.

Важное отличие метода, использующего эксплойт загрузчика от других низкоуровневых методов анализа – доказываемая идентичность повторно извлечённых данных, полученных спустя время в новой сессии работы с устройством. Это означает, что после использования метода можно провести повторное извлечение и получить полностью идентичный результат (при условии, что устройство не включалось и не перезагружалось после первого извлечения, а было сразу выключено и оставалось выключенным до следующей сессии).

Преимущества нашего решения:

  • Гарантированная целостность и неизменность всех разделов устройства.
  • Повторяемый, верифицируемый результат с вычислением контрольной суммы.
  • Любые модификации происходят только в оперативной памяти устройства.
  • Интерактивные инструкции по установке эксплойта.
  • Поддержка всех версий iOS от 8.0 до 15.5 включительно.
  • Поддержка заблокированных устройств в режиме BFU, обход ограничений USB.

Поддержка 64-разрядных устройств

Уникальный механизм низкоуровневого доступа позволяет извлечь существенное количество информации из устройств, оборудованных сопроцессором Secure Enclave. Извлекается как полный образ файловой системы устройства в формате TAR, так и содержимое связки ключей. Для устройств поколений iPhone 5s...iPhone X извлечение файловой системы и расшифровка связки ключей доступны независимо от установленной на устройство версии iOS. Для ряда устройств поддерживается извлечение посредством агента-экстрактора, остальные устройства поддерживаются через джейлбрейк.

Взлом кода блокировки и физический анализ iPhone 4, 4s, 5 и 5c

Для старых моделей iPhone, включающих модели iPhone 4, 4s, 5 и 5c, доступна полноценная поддержка, включающая как взлом кода блокировки, так и создание точного образа раздела данных, извлечение и расшифровку связки ключей.

Инструментарий позволяет подобрать код блокировки экрана к смартфонам iPhone 4, 4s, 5 и iPhone 5c, что позволяет разблокировать такие устройства с неизвестным паролем. Атака работает через режим обновления прошивки DFU с максимально возможной скоростью. Всё, что требуется для её проведения - компьютер под управлением macOS и обычный кабель USB - Lightning (кабели Lightning - Type-C не поддерживаются); для модели iPhone 4s дополнительно потребуется микроконтроллер Raspberry Pi Pico со специальной прошивкой, которая входит в состав продукта.

Скорость перебора паролей - максимально возможная для аппаратной платформы, и составляет 13.6 паролей в секунду для iPhone 5 и 5с, 6.6 паролей в секунду для iPhone 4. Все возможные комбинации паролей из 4 цифр перебираются за 12 минут (iPhone 5/5c) или 26 минут (iPhone 4).

Пароли, состоящие из 6 цифр, перебираются в течение 21 часа, однако реальное время разблокировки может быть значительно меньше. В процессе атаки инструментарий в первую очередь опробует самые распространённые пароли, во вторую – пароли, в которых может быть закодирована дата рождения. Лишь в том случае, если не сработает ни одна из этих атак, время отработки которых составляет полтора часа, программа включит режим полного перебора.

Возможность взлома кода блокировки доступна исключительно в редакции для Mac.

Обратите внимание: Поддержка iPhone 4, 4s, 5 и 5c доступна исключительно в редакции для Mac. Поддержка iPhone 4s реализована посредством аппаратного модуля - микроконтроллера Raspberry Pi Pico со специальной прошивкой, которая входит в состав продукта. Плата микроконтроллера приобретается отдельно. Для моделей, работающих под управлением iOS 4-7, физический анализ возможен без взлома кода блокировки.

Низкоуровневое извлечение файловой системы и cвязки ключей

Для доступа к данным устройств iPhone и iPad в процессе низкоуровневого извлечения используется специализированная программа-агент собственной разработки Элкомсофт. Использование агента-экстрактора позволяет быстро, эффективно и максимально безопасно извлечь полный образ файловой системы и расшифровать связку ключей с использованием программного агента собственной разработки.

Использование агента собственной разработки позволяет сделать процесс анализа значительно более удобным и совершенно безопасным. Агент не модифицирует системный раздел устройства и пользовательские данные, не перемонтирует файловую систему и не оставляет явных следов работы; худшее, что может произойти с устройством – перезагрузка в штатном режиме. При извлечении данных автоматически подсчитываются и сохраняются хэш-суммы. Кроме того, использование агента позволило добиться максимально возможной для каждой модели скорости передачи данных – до 2.5 ГБ в минуту. По завершении работы агент удаляется с устройства одной командой.

Помимо полного извлечения файловой системы доступен режим экспресс-извлечения. В этом режиме из файловой системы извлекаются только данные пользователя, но не файлы операционной системы. В системном разделе iOS содержатся исполняемые файлы и библиотеки, необходимые для работы операционной системы. За исключением случаев, когда пользователь устанавливает на устройство джейлбрейк, содержимое системного раздела совпадает на устройствах одной и той же модели, работающих под управлением одной и той же версии iOS, и не представляет ценности для расследования. Экспресс-режим позволяет сэкономить время и место на диске и упростить анализ извлечённых данных.

Агент-экстрактор демонстрирует высокую скорость, надёжность и совместимость, но для его установки требуется зарегистрировать Apple ID в программе Apple для разработчиков. В версии iOS Forensic Toolkit для Mac регистрация в программе для разработчиков рекомендуется, но не обязательна; для установки агента и извлечения данных можно использовать и обычные Apple ID.

Извлечение данных из Apple Watch и Apple TV

Решение ElcomSoft для извлечения данных из Apple Watch – единственное на рынке. Единственная альтернатива использованию iOS Forensic Toolkit – создание резервной копии iPhone, к которому привязаны часы Apple Watch. Извлечение данных непосредственно из часов Apple Watch позволяет оперативно получить доступ к важной информации, включая фотографии с метаданными EXIF, включающими данные о местоположении. В устройствах Apple Watch и Apple TV не предусмотрены локальные резервные копии в формате iTunes. Соответственно, в список доступных для извлечения данных входят медиа-файлы, системные журналы crash logs, данные приложений и информация об устройстве. Для доступа к данным часов Apple Watch необходимо проводное подключение устройства к компьютеру через отладочные контакты с использованием стороннего отладочного кабеля IBUS.

С устройств Apple TV зачастую возможно извлечение фотографий, если в учётной записи пользователя активирован сервис iCloud Photos. Устройства Apple TV не могут быть защищены кодом блокировки, что позволяет извлечь фотографии даже в случаях, когда телефон пользователя заблокирован, а пароль от iCloud неизвестен. Кроме того, для устройств Apple TV поддерживается извлечение связки ключей.

Логическое извлечение данных

У низкоуровневого метода извлечения данных есть ограничения: доступ к современным устройствам возможен только после установки джейлбрейка, который может быть не доступен для некоторых комбинаций аппаратного и программного обеспечения. Эти ограничения возможно обойти, использовав логическое извлечение данных.

Данные, полученные в результате логического извлечения, можно проанализировать в Elcomsoft Phone Viewer или сторонних приложениях, поддерживающих формат данных iTunes. Если полученная резервная копия зашифрована неизвестным паролем, нужно использовать Elcomsoft Phone Breaker для подбора пароля и расшифровки данных.

Если пароль на резервную копию не установлен, iOS Forensic Toolkit автоматически установит временный пароль «123», который сбрасывается по завершении процедуры. Использование временного пароля позволит успешно расшифровать keychain, который в противном случае был бы зашифрован аппаратным ключом.

Если устройство заблокировано неизвестным паролем, продукт может использовать для разблокировки lockdown-файлы, создаваемые на компьютере пользователя для упрощения авторизации. Файлы Lockdown действуют до первой перезагрузки устройства.

При помощи iOS Forensic Toolkit можно быстро извлечь полный набор медиа-файлов, включая фотографии, видеоролики, книги и другие медиа-данные. Данный режим предлагает оперативную альтернативу созданию резервных копий. Медиа-файлы успешно извлекаются во всех случаях, даже если установлен неизвестный пароль на резервные копии iTunes. Возможно извлечение из заблокированных устройств посредством lockdown-записей.

Поддержка заблокированных устройств

Если экран устройства заблокирован неизвестным паролем, но на устройстве установлен джейлбрейк, с помощью iOS Forensic Toolkit можно извлечь ограниченное количество данных: информацию о входящих звонках и SMS, WAL-файлы, системные журналы и журналы приложений, а также уведомления и входящие сообщения, полученные некоторыми программами для мгновенного обмена сообщениями в то время, когда экран устройства был заблокирован. Для просмотра извлечённой с помощью iOS Forensic Toolkit связки ключей keychain потребуется использовать Elcomsoft Phone Breaker.

При использовании логического извлечения разблокирование устройства возможно с помощью lockdown-файлов, извлечённых из компьютера пользователя.

При наличии lockdown-файла, из устройств под управлением iOS возможно извлечь дополнительную информацию даже в тех случаях, когда устройство ни разу не разблокировалось с момента включения или перезагрузки. Для устройств под управлением iOS 8 .. iOS 15.х:

Базовая информация об устройстве Расширенная информация об устройстве Список приложений Медиа-файлы Резервная копия в формате iTunes
Устройство заблокировано, lockdown-файл отсутствует Да Нет Нет Нет Нет
Устройство ни разу не разблокировалось с момента перезагрузки; есть lockdown-файл Да Да Нет Нет Нет
Устройство хотя бы один раз разблокировалось с момента перезагрузки; есть lockdown-файл Да Да Да Да Да

Совместимые устройства и методы извлечения

iOS Forensic Toolkit поддерживает низкоуровневое извлечение из моделей iPhone 4 - iPhone 13 Pro Max. Логическое извлечение доступно для всех моделей.

Таблица совместимости:

  • Взлом кода блокировки: Для моделей iPhone 4, iPhone 4s, iPhone 5 и iPhone 5c через режим DFU [1][2].
  • Для старых моделей (iPhone 4, 4s, 5 и 5c): Взлом кода блокировки, снятие и расшифровка образа раздела данных, извлечение и расшифровка связки ключей [1][2].
  • Агент-экстрактор: Извлечение файловой системы и расшифровка связки ключей для устройств с iOS 9 - 15.1.1 (для модели iPad Pro 5 на процессоре M1 - до iOS 15.1 включительно). Также поддерживаются соответствующие модели iPad. Регистрация в программе Apple для разработчиков: обязательно (Windows)/опционально (macOS).
  • С джейлбрейком: Для любой версии iOS, для которой доступен джейлбрейк.
  • Прямое извлечение через уязвимость загрузчика: Гарантированная криминалистическая чистота извлечение; повторяемый, верифицируемый результат. Доступно для ряда моделей iPhone, к которым применим эксплойт уязвимости загрузчика checkm8 (от iPhone 5s до iPhone X). Извлечение образа файловой системы и связки ключей (для всех версий iOS начиная с 8.0). Также доступно для планшетов iPad 5, 6 и 7 поколений, iPad Mini 2, 3 и 4 поколений, iPad Air 1 и 2, iPad Pro 1 и 2, устройств iPod Touch 6 и 7 и Apple TV 4 и 4K. [1]
  • Расширенное логическое извлечение: Извлекается информация об устройстве, резервные копии, файлы приложений, медиа-файлы и некоторые системные журналы; доступно для всех устройств независимо от версии iOS.

Поддержка режимов DFU и Recovery

Поддержка режимов обновления прошивки (DFU) и восстановления (recovery) позволяет анализировать устройства, заблокированные после десяти неудачных попыток разблокировки, а также устройства с активированным режимом ограничений USB. Из устройств в режиме восстановления можно извлечь информацию об идентификаторе модели, ECID/UCID, серийном номере устройства, а в некоторых случаях - и его IMEI. Кроме того, в режиме восстановления определяется версия загрузчика (bootloader), что позволяет определить точную версию iOS либо диапазон версий iOS, под управлением которых может работать устройство.

Расшифровка данных «на лету»

В отличие от ранее используемых методов расшифровки, Elcomsoft iOS Forensic Toolkit работает с устройством напрямую, что позволяет расшифровывать данные «на лету». При наличии исследуемого устройства становится возможным извлечь из устройства оригинальные ключи, с помощью которых были зашифрованы данные. С помощью этих ключей расшифровка осуществляется в реальном времени – практически мгновенно.

Восстановление данных системного хранилища (keychain)

Elcomsoft iOS Forensic Toolkit предоставляет криминалистам полный доступ к информации, хранящейся в защищённом системном хранилище (keychain). В системном хранилище записываются такие данные, как логины и пароли к сайтам, почте, программам и прочим ресурсам. Расшифровка данных из keychain должна осуществляться на устройстве, экран которого остаётся разблокированным в течение всего процесса. Для поддержания экрана в разблокированном состоянии в состав iOS Forensic Toolkit включена соответствующая утилита, отключающая автоматическую блокировку экрана.

Если пароль блокировки неизвестен: доступ посредством lockdown-файлов

При извлечении данных из заблокированного устройства доступ к информации можно получить с помощью актуального lockdown-файла, извлечённого из компьютера пользователя. Для использования lockdown-файла после перезагрузки устройства необходимо разблокировать устройство паролем.

Для заблокированных устройств поколений iPhone 5s...iPhone X с неизвестным паролем блокировки доступен специальный режим частичного извлечения файловой системы независимо от установленной версии iOS. Данный режим подходит и для устройств, находящихся в защитном режиме USB restricted mode.

Системные требования

iOS Forensic Toolkit для Mac OS X работает на компьютерах Mac с архитектурой процессоров Intel. Поддерживается система macOS с версии 10.12 по 10.15.

Версия для Microsoft Windows работает на компьютерах под управлением Windows 7, 8, 8.1, 10. Требуется установка последней версии iTunes.

Работа программы в других версиях Windows и macOS возможна, но не гарантируется.

iOS Forensic Toolkit для macOS работает на компьютерах Mac с архитектурой процессоров Intel. Поддерживаются версии macOS с 10.13 (High Sierra) до 12 (Monterey) с установленным приложением iTunes последней версии. Версия для Windows работает на компьютерах с 32- и 64-разрядными версиями Windows 10, Windows 8/8.1 и Windows 7 с последней версией iTunes (автономная версия или установленная из Microsoft Store). Работа программы в других версиях Windows и macOS возможна, но не гарантируется.

Совместимые устройства и платформы

iOS Forensic Toolkit поддерживает низкоуровневое извлечение из моделей iPhone 4 - iPhone 13 Pro Max. Логическое извлечение доступно для всех моделей.

Таблица совместимости:

  • iPhone 4, 5 и 5c: подбор кода блокировки через режим [1]
  • iPhone 4, 4s, 5 и 5c: физическое извлечение с извлечением и расшифровкой раздела данных и связки ключей [1][2]
  • iPhone 5s, 6, 6 Plus, 6s, 6s Plus, SE (первого поколения), 7, 7 Plus, 8, 8 Plus, X: криминалистически чистое извлечение через checkm8 [1]
  • iPad 5, 6 и 7, iPad Mini 2, 3 и 4, iPad Air 1 и 2, iPad Pro 1 и 2, iPod Touch 6 и 7 и Apple TV 4 и 4K: криминалистически чистое извлечение через checkm8 [1]
  • 64-разрядные устройства через джейлбрейк: образ файловой системы, связка ключей
  • Частичное извлечение файловой системы и связки ключей в режиме BFU для заблокированных моделей iPhone от iPhone 5s до iPhone X
  • Apple TV 4 (проводное подключение) и Apple TV 4K (беспроводное подключение через Xcode [1])
  • Apple Watch (всех поколений); требуется адаптер IBUS от стороннего производителя
  • Извлечение посредством агента-экстрактора: доступно для совместимых устройств
  • Расширенный логический анализ: доступен для всех моделей

Расширенный логический анализ включает в себя:

  • Подробную информацию об устройстве
  • Резервную копию в формате iTunes (в т.ч. большую часть записей из связки ключей)
  • Список установленных приложений
  • Медиа-файлы (в том числе для случаев, когда резервная копия защищена паролем)
  • Файлы приложений (в том числе для случаев, когда резервная копия защищена паролем)

Специализированный инструмент для извлечения данных из устройств, работающих под управлением Apple iOS методами физического и логического анализа.

  1. Функции доступны только в редакции iOS Forensic Toolkit для macOS.  

  2. Для моделей iPhone 4s, iPod Touch 5, iPad 2 и 3 требуется использование одноплатного микроконтроллера Raspberry Pi Pico, прошивка для которого поставляется в составе дистрибутива.