Elcomsoft iOS Forensic Toolkit
Криминалистический анализ устройств iPhone/iPad/iPod на основе Apple iOS
Elcomsoft iOS Forensic Toolkit – специализированный продукт для криминалистического исследования устройств на основе Apple iOS. iOS Forensic Toolkit позволяет экспертам правоохранительных органов производить сбор информации и проводить судебные и компьютерно-технические экспертизы устройств iPhone, iPad и iPod производства компании Apple, работающих под управлением iOS версий c 7 по 12.
С помощью iOS Forensic Toolkit возможно получить полный доступ к информации, хранящейся в поддерживаемых устройствах. С помощью iOS Forensic Toolkit специалисты могут получить доступ к расшифрованному образу файловой системы устройства, расшифровать коды, пароли и прочую защищённую информацию. Доступ к основному массиву данных осуществляется в режиме реального времени.
Возможности продукта
- Универсальное решение «всё в одном» для логического и физического извлечения данных
- Доступ к полному массиву информации
- Извлечение информации из устройств-компаньонов Apple Watch и приставок Apple TV
- Обеспечивается аутентичность исследуемой информации
- Поддерживаемые методы извлечения данных: физическое извлечение для 64-разрядных устройств с jailbreak, логическое извлечение для всех типов устройств
- Получение подробной информации об устройстве и учётной записи пользователя
- Извлечение медиа-файлов: фотографий, видео, книг и файлов из iTunes, даже если на резервную копию установлен пароль
- Извлечение файлов приложений
- Восстановление данных системного хранилища (keychain), паролей и зашифрованных данных
- Автоматическое ведение журнала всех следственных действий
- Поддержка устройств на основе iOS с 7.0 по 12.1.2 методом физического извлечения
- Поддержка последних версий iOS и модельного ряда устройств 2018 года в режиме логического извлечения
- Доступны версии для Mac и Windows
Преимущества низкоуровневого доступа
Благодаря низкоуровневому доступу к устройству, iOS Forensic Toolkit может извлечь заметно больше информации, чем доступно в резервных копиях. Расшифровываются такие данные, как пароли к сайтам из связки ключей keychain, SMS, электронная почта, логины и пароли к программам.
Среди криминалистически важных данных содержится такая информация, как географическое положение устройства в каждый момент времени, карты и маршруты, рассчитанные с помощью Google Maps, история посещений интернет ресурсов, а также практически вся информация, набранная на устройстве с помощью виртуальной клавиатуры.
Поддержка 64-разрядных устройств
Уникальный механизм низкоуровневого доступа позволяет извлечь существенное количество информации из устройств, оборудованных сопроцессором Secure Enclave. Извлекается как полный образ файловой системы устройства в формате TAR, так и содержимое связки ключей keychain. Для успешной работы функции требуется установка jailbreak..
Извлечение данных из Apple Watch и Apple TV
Решение ElcomSoft для извлечения данных из Apple Watch – единственное на рынке. Единственная альтернатива использованию iOS Forensic Toolkit – создание резервной копии iPhone, к которому привязаны часы Apple Watch. Извлечение данных непосредственно из часов Apple Watch позволяет оперативно получить доступ к важной информации, включая фотографии с метаданными EXIF, включающими данные о местоположении. В устройствах Apple Watch и Apple TV не предусмотрены локальные резервные копии в формате iTunes. Соответственно, в список доступных для извлечения данных входят медиа-файлы, системные журналы crash logs, данные приложений и информация об устройстве. Для доступа к данным часов Apple Watch необходимо проводное подключение устройства к компьютеру через отладочные контакты с использованием стороннего отладочного кабеля IBUS.
С устройств Apple TV зачастую возможно извлечение фотографий, если в учётной записи пользователя активирован сервис iCloud Photos. Устройства Apple TV не могут быть защищены кодом блокировки, что позволяет извлечь фотографии даже в случаях, когда телефон пользователя заблокирован, а пароль от iCloud неизвестен.
Логическое извлечение данных
У метода физического извлечения данных есть ограничения: доступ к современным устройствам возможен только после установки jailbreak, который может быть не доступен для некоторых комбинаций аппаратного и программного обеспечения. Эти ограничения возможно обойти, использовав логическое извлечение данных.
Данные, полученные в результате логического извлечения, можно проанализировать в Elcomsoft Phone Viewer или сторонних приложениях, поддерживающих формат данных iTunes. Если полученная резервная копия зашифрована неизвестным паролем, нужно использовать Elcomsoft Phone Breaker для подбора пароля и расшифровки данных.
Если пароль на резервную копию не установлен, iOS Forensic Toolkit автоматически установит временный пароль «123», который сбрасывается по завершении процедуры. Использование временного пароля позволит успешно расшифровать keychain, который в противном случае был бы зашифрован аппаратным ключом.
Если устройство заблокировано неизвестным паролем, продукт может использовать для разблокировки lockdown-файлы, создаваемые на компьютере пользователя для упрощения авторизации. Файлы Lockdown действуют до первой перезагрузки устройства.
Быстрое извлечение медиа-файлов
При помощи iOS Forensic Toolkit можно быстро извлечь полный набор медиа-файлов, включая фотографии, видеоролики, книги и другие медиа-данные. Данный режим предлагает оперативную альтернативу созданию резервных копий. Медиа-файлы успешно извлекаются во всех случаях, даже если установлен неизвестный пароль на резервные копии iTunes. Возможно извлечение из заблокированных устройств посредством lockdown-записей.
Поддержка заблокированных устройств
Если экран устройства заблокирован неизвестным паролем, но на устройстве установлен jailbreak, с помощью iOS Forensic Toolkit можно извлечь ограниченное количество данных: информацию о входящих звонках и SMS, WAL-файлы, системные журналы и журналы приложений, а также уведомления и входящие сообщения, полученные некоторыми программами для мгновенного обмена сообщениями в то время, когда экран устройства был заблокирован. Для просмотра ищвлечённой с помощью iOS Forensic Toolkit связки ключей keychain потребуется использовать Elcomsoft Phone Breaker.
При использовании логического извлечения разблокирование устройства возможно с помощью lockdown-файлов, извлечённых из компьютера пользователя.
При наличии lockdown-файла, из устройств под управлением iOS возможно извлечь дополнительную информацию даже в тех случаях, когда устройство ни разу не разблокировалось с момента включения или перезагрузки. Для устройств под управлением iOS 8 .. iOS 12.х:
| Базовая информация об устройстве | Расширенная информация об устройстве | Список приложений | Медиа-файлы | Резервная копия в формате iTunes | |
|---|---|---|---|---|---|
| Устройство заблокировано, lockdown-файл отсутствует | Да | Нет | Нет | Нет | Нет |
| Устройство ни разу не разблокировалось с момента перезагрузки; есть lockdown-файл | Да | Да | Нет | Нет | Нет |
| Устройство хотя бы один раз разблокировалось с момента перезагрузки; есть lockdown-файл | Да | Да | Да | Да | Да |
Расшифровка данных «на лету»
В отличие от ранее используемых методов расшифровки, Elcomsoft iOS Forensic Toolkit работает с устройством напрямую, что позволяет расшифровывать данные «на лету». При наличии исследуемого устройства становится возможным извлечь из устройства оригинальные ключи, с помощью которых были зашифрованы данные. С помощью этих ключей расшифровка осуществляется в реальном времени – практически мгновенно.
Восстановление данных системного хранилища (keychain)
Elcomsoft iOS Forensic Toolkit предоставляет криминалистам полный доступ к информации, хранящейся в защищённом системном хранилище (keychain). В системном хранилище записываются такие данные, как логины и пароли к сайтам, почте, программам и прочим ресурсам. Расшифровка данных из keychain должна осуществляться на устройстве, экран которого остаётся разблокированным в течение всего процесса. Для поддержания экрана в разблокированном состоянии в состав iOS Forensic Toolkit включена соответствующая утилита, отключающая автоматическую блокировку экрана.
Если пароль блокировки неизвестен: доступ посредством lockdown-файлов
При извлечении данных из заблокированного устройства доступ к информации можно получить с помощью актуального lockdown-файла, извлечённого из компьютера пользователя. Для использования lockdown-файла после перезагрузки устройства необходимо разблокировать устройство паролем.
Системные требования
iOS Forensic Toolkit для Mac OS X работает на компьютерах Mac с архитектурой процессоров Intel. Поддерживается система macOS с версии 10.6 по 10.12 (Sierra). Требуется установка iTunes 10.6 или более поздней версии.
Версия для Microsoft Windows работает на компьютерах под управлением Windows 7, 8, 8.1, 10. Требуется установка iTunes 10.6 или более поздней версии.
Работа программы в других версиях Windows и macOS возможна, но не гарантируется.
Совместимые устройства и платформы
iOS Forensic Toolkit поддерживает следующие устройства, работающие под управлением системы iOS:
- iPhone 5S и более новых: для физического извлечения требуется jailbreak
- iPad Air, Air 2, Pro, iPad mini 2-4, iPad Pro (все модели), Apple Watch (все модели), Apple TV 4, 4K: для физического извлечения требуется jailbreak
- Устройства, для которых невозможна установка jailbreak: только логическое извлечение; устройство необходимо разблокировать при помощи пасскода, посредством датчика отпечатков пальцев или Face ID либо с помощью депонированного ключа (lockdown record)
Специализированный инструмент для извлечения данных из устройств, работающих под управлением Apple iOS методами физического и логического анализа.