КОМПЬЮТЕРНАЯ КРИМИНАЛИСТИКА

Elcomsoft iOS Forensic Toolkit

Цена
Full version
$ 2199
Купить

версия: 8.81

Криминалистический анализ устройств под управлением iOS

Elcomsoft iOS Forensic Toolkit – специализированный продукт для криминалистического исследования устройств Apple на основе iOS и её производных (tvOS, watchOS, iPadOS). iOS Forensic Toolkit позволяет экспертам правоохранительных органов производить сбор информации и проводить судебные и компьютерно-технические экспертизы устройств iPhone, iPad и iPod производства компании Apple, работающих под управлением iOS.

С помощью iOS Forensic Toolkit можно получить полный доступ к информации, хранящейся в поддерживаемых устройствах. С помощью iOS Forensic Toolkit специалисты могут получить доступ к расшифрованному образу файловой системы устройства, расшифровать коды, пароли и прочую защищённую информацию. Доступ к основному массиву данных осуществляется в режиме реального времени.

Поддерживаемые методы извлечения:

  • Расширенный логический анализ (резервные копии, медиа-файлы, системные журналы, в том числе Apple Unified Logs и журналы sysdiagnose, файлы приложений) (для всех устройств и всех версий iOS)
  • Агент-экстрактор (для всех 64-бит устройств, совместимых версий iOS)
  • Эксплойт загрузчика: совместимые устройства, все версии iOS, с оговорками для iPhone 8/8Plus/X (версии для macOS и Linux)
  • Взлом кода блокировки, физический анализ (совместимые 32-разрядные устройства) (версии для macOS и Linux)

Возможности продукта

  • Универсальное решение «всё в одном» для логического и низкоуровневого извлечения данных
  • Извлечение файловой системы через эксплойт загрузчика для 76 моделей устройств, трёх поколений архитектуры и многих поколений iOS [1][2]
  • Поддержка как смартфонов iPhone, так и устройств iPod Touch, iPad, Apple Watch (все модели) и Apple TV
  • Взлом кода блокировки экрана, физическое извлечение данных для iPhone 3GS, 4, 5 и iPhone 5c и других устройств на аналогичных чипах, а также iPhone 4s, iPod Touch 5, iPad 2 и 3 [1][2]
  • Извлечение файловой системы и расшифровка связки ключей посредством агента-экстрактора
  • Доступ к полному массиву информации
  • Извлечение информации из устройств-компаньонов Apple Watch всех моделей, приставок Apple TV и колонок HomePod первого поколения [1]
  • Обеспечивается аутентичность исследуемой информации
  • Поддерживаемые методы извлечения данных: низкоуровневое извлечение файловой системы и расшифровка связки ключей для 64-разрядных устройств, логическое извлечение для всех типов устройств
  • Получение подробной информации об устройстве и учётной записи пользователя
  • Извлечение медиа-файлов: фотографий, видео, книг и файлов из iTunes, даже если на резервную копию установлен пароль
  • Извлечение файлов приложений
  • Извлечение и расшифровка связки ключей, паролей и зашифрованных данных
  • Автоматическое ведение журнала всех следственных действий
  • Поддержка последних версий iOS и актуального модельного ряда устройств в режиме логического извлечения
  • Доступны версии для Mac, Linux и Windows

Поддержка мультиплатформенности и сравнение редакций

iOS Forensic Toolkit существует для нескольких платформ. Доступны редакции для macOS, Linux и Windows. Сравнение возможностей iOS Forensic Toolkit для разных платформ:

Функции macOS Windows Linux*
Расширенная информация об устройстве
Логическое извлечение (резервная копия)
Извлечение медиафайлов и метаданных
Извлечение диагностических логов и журналов Apple Unified Logs
Извлечение агентом с учётной записью разработчика
Извлечение агентом с обычной учётной записью
Извлечение через уязвимости загрузчика, взлом кода блокировки
Дополнительные сервисные возможности

Редакция для Linux поддерживает сборки Debian, Ubuntu, Kali Linux и Mint на компьютерах с архитектурой Intel

Преимущества низкоуровневого доступа

Благодаря низкоуровневому доступу к устройству, iOS Forensic Toolkit может извлечь заметно больше информации, чем доступно в резервных копиях. Расшифровываются такие данные, как пароли к сайтам из связки ключей, SMS, электронная почта, логины и пароли к программам.

Использование уязвимости в коде загрузчика ряда моделей позволяет проводить частичное извлечение файловой системы в режиме BFU (до первой разблокировки) для устройств с заблокированным экраном сразу после включения или перезагрузки.

Среди важных для эксперта-криминалиста данных содержится такая информация, как географическое положение устройства в каждый момент времени, карты и маршруты, рассчитанные с помощью Google Maps, история посещений интернет ресурсов, а также практически вся информация, набранная на устройстве с помощью виртуальной клавиатуры.

Криминалистически чистое извлечение через эксплойт загрузчика для ряда моделей

В Elcomsoft iOS Forensic Toolkit 8 в редакциях для macOS и Linux доступен режим криминалистически чистого извлечения через эксплойт загрузчика. Поддерживается ряд моделей iPhone, iPod Touch, iPad, Apple Watch и Apple TV, работающих под управлением всех поддерживаемых устройствами версий iOS с ограниченной поддержкой iOS 16 для iPhone 8/X.

Метод гарантирует криминалистическую чистоту и неизменность извлекаемых данных, а также повторяемость результатов при точном следования инструкции. Для работы метода не требуется загрузка оригинальной версии операционной системы устройства; никакие данные на устройстве не модифицируются.

Важное отличие метода, использующего эксплойт загрузчика от других низкоуровневых методов анализа – доказываемая идентичность повторно извлечённых данных, полученных спустя время в новой сессии работы с устройством. Это означает, что после использования метода можно провести повторное извлечение и получить полностью идентичный результат (при условии, что устройство не включалось и не перезагружалось после первого извлечения, а было сразу выключено и оставалось выключенным до следующей сессии).

Преимущества нашего решения:

  • Гарантированная целостность и неизменность всех разделов устройства.
  • Повторяемый, верифицируемый результат с вычислением контрольной суммы.
  • Не остаётся следов работы.
  • Любые модификации происходят только в оперативной памяти устройства.
  • Поддержка 76 моделей устройств, трёх поколений архитектуры и ряда поколений iOS
  • Поддержка версий iOS от 7 до iOS 16 включительно (с ограничениями в поддержке iOS 16.x для моделей iPhone 8/8Plus/X).
  • Поддержка заблокированных устройств в режиме BFU, обход ограничений USB.

Поддержка 64-разрядных устройств

Уникальный механизм низкоуровневого доступа позволяет извлечь существенное количество информации из устройств, оборудованных сопроцессором Secure Enclave. Извлекается как полный образ файловой системы устройства в формате TAR, так и содержимое связки ключей. Для устройств поколений iPhone 5s...iPhone X извлечение файловой системы и расшифровка связки ключей доступны независимо от установленной на устройство версии iOS (за исключением iOS 16 на iPhone 8/8 Plus/X)

Взлом кода блокировки и физический анализ iPhone 3GS, 4, 4s, 5 и 5c

Для старых моделей iPhone, включающих 32-разрядные iPhone 3GS, 4, 4s, 5 и 5c и устройства на аналогичных чипах, доступна полноценная поддержка, включающая как взлом кода блокировки, так и создание точного образа раздела данных, извлечение и расшифровку связки ключей.

Инструментарий позволяет подобрать код блокировки экрана к перечисленным устройствам, что позволяет разблокировать такие устройства с неизвестным паролем. Атака работает с максимально возможной скоростью. Всё, что требуется для её проведения - компьютер под управлением macOS и обычный кабель USB - Lightning (кабели Lightning - Type-C не поддерживаются); для модели iPhone 4s дополнительно потребуется микроконтроллер Raspberry Pi Pico со специальной прошивкой, которая входит в состав продукта.

Скорость перебора паролей - максимально возможная для аппаратной платформы. Все возможные комбинации паролей из 4 цифр перебираются за 12 минут (iPhone 5/5c); для более старых устройств скорость перебора ниже. Реальное время разблокировки, как правило, меньше. Для 32-битных устройств данные извлекаются даже для устройств, которые попали в лабораторию в состоянии блокировки после 10 неверных попыток ввода пароля.

Обратите внимание: Поддержка iPhone 3GS, 4, 4s, 5 и 5c доступна в редакциях для Mac и Linux. Поддержка iPhone 4s реализована посредством аппаратного модуля - микроконтроллера Raspberry Pi Pico со специальной прошивкой, которая входит в состав продукта. Плата микроконтроллера приобретается отдельно. Для моделей, работающих под управлением iOS 4-7, физический анализ возможен без взлома кода блокировки. Оценки времени восстановления кода блокировки приведены для iPhone 5/5c; для более старых устройств скорость атак ниже.

Низкоуровневое извлечение файловой системы и cвязки ключей

Для доступа к данным устройств iPhone и iPad в процессе низкоуровневого извлечения используется специализированная программа-агент собственной разработки. Использование агента-экстрактора позволяет быстро, эффективно и максимально безопасно извлечь полный образ файловой системы и расшифровать связку ключей с использованием программного агента собственной разработки.

Использование агента собственной разработки позволяет сделать процесс анализа значительно более удобным и совершенно безопасным, а набор получаемых с его помощью данных соответствует тому, который получается в процессе физического анализа посредством эксплойта загрузчика. Агент не модифицирует системный раздел устройства и пользовательские данные, не перемонтирует файловую систему и не оставляет явных следов работы; худшее, что может произойти с устройством – перезагрузка в штатном режиме. При извлечении данных автоматически подсчитываются и сохраняются хэш-суммы. Кроме того, использование агента позволило добиться максимально возможной для каждой модели скорости передачи данных – до 2.5 ГБ в минуту. По завершении работы агент удаляется с устройства одной командой.

Помимо полного извлечения файловой системы доступен режим экспресс-извлечения. В этом режиме из файловой системы извлекаются только данные пользователя, но не файлы операционной системы. Экспресс-режим позволяет сэкономить время и место на диске и упростить анализ извлечённых данных.

Для установки агента потребуется учётная запись Apple ID. Можно использовать как обычные Apple ID, так и учётные записи, зарегистрированные в программе Apple для разработчиков.

Извлечение данных из всех моделей часов Apple Watch

Извлечение данных непосредственно из часов Apple Watch позволяет оперативно получить доступ к важной информации, включая фотографии с метаданными EXIF, включающими данные о местоположении. В устройствах Apple Watch и Apple TV не предусмотрены локальные резервные копии в формате iTunes. Соответственно, в список доступных для извлечения данных входят медиа-файлы, системные журналы диагностики и Apple Unified Logs, данные приложений и информация об устройстве. Единственная альтернатива использованию iOS Forensic Toolkit – создание резервной копии iPhone, к которому привязаны часы Apple Watch.

  • Для доступа к данным часов Apple Watch до модели S6 включительно необходимо проводное подключение устройства к компьютеру через отладочные контакты с использованием стороннего отладочного кабеля IBUS.
  • Для моделей Apple Watch S7 и выше, SE2, Ultra 1 и Ultra 2 требуется специальный беспроводной адаптер.
  • Низкоуровневое извлечение через эксплойт загрузчика для моделей Apple Watch S0..S3
  • Логическое извлечение для всех существующих моделей Apple Watch S0..S10, Ultra, Ultra 2, SE1 и SE2

Извлечение данных из Apple TV и HomePod (первого поколения)

С устройств Apple TV зачастую возможно извлечение фотографий, если в учётной записи пользователя активирован сервис iCloud Photos. Устройства Apple TV не могут быть защищены кодом блокировки, что позволяет извлечь фотографии даже в случаях, когда телефон пользователя заблокирован, а пароль от iCloud неизвестен. Кроме того, для устройств Apple TV поддерживается извлечение связки ключей.

Для приставок Apple TV 4K первого поколения и более старых, а также часов Apple Watch поколений от S0 до S3 включительно доступен криминалистически чистый способ извлечения через эксплойт загрузчика. Для ряда моделей понадобятся специализированные адаптеры.

Криминалистически чистое извлечение доступно и для умных колонок HomePod первого поколения, в которых используется чип с уязвимостью checkm8. Для подключения к диагностическому порту потребуется частичная разборка устройства и адаптер, который можно распечатать на 3D-принтере.

Расширенное логическое извлечение данных

У низкоуровневого метода извлечения данных есть ограничения по моделям и версиям iOS. Эти ограничения возможно обойти, использовав логическое извлечение данных.

Данные, полученные в результате логического извлечения, можно проанализировать в Elcomsoft Phone Viewer или сторонних приложениях, поддерживающих формат данных iTunes. Если полученная резервная копия зашифрована неизвестным паролем, нужно использовать Elcomsoft Phone Breaker для подбора пароля и расшифровки данных.

Если пароль на резервную копию не установлен, iOS Forensic Toolkit автоматически установит временный пароль «123», который сбрасывается по завершении процедуры. Использование временного пароля позволит успешно расшифровать keychain, который в противном случае был бы зашифрован аппаратным ключом.

При помощи iOS Forensic Toolkit можно быстро извлечь полный набор медиа-файлов, включая фотографии, видеоролики, книги и другие медиа-данные. Данный режим предлагает оперативную альтернативу созданию резервных копий. Медиа-файлы успешно извлекаются во всех случаях, даже если установлен неизвестный пароль на резервные копии iTunes.

Извлечение системных журналов Apple Unified Logs

В рамках логического анализа поддерживается извлечение двух типов журналов: sysdiagnose и Unified Logs. Журналы sysdiagnose необходимо предварительно генерировать (как правило, при помощи комбинации кнопок на устройстве); в них попадает детальная информация о периоде в 24 часа до момента создания логов. Журналы Unified Logs покрывают существенно больший промежуток времени - как правило, порядка 10 дней для большинства типов записей (точное время жизни записей зависит от системных констант).

Совместимые устройства и методы извлечения

iOS Forensic Toolkit поддерживает низкоуровневое извлечение из моделей iPhone 3GS - iPhone 14 Pro Max. Логическое извлечение доступно для всех моделей.

Таблица совместимости:

  • Для старых моделей (iPhone 3GS, 4, 4s, 5 и 5c, другие устройства на аналогичных чипах): Взлом кода блокировки, снятие и расшифровка образа раздела данных, извлечение и расшифровка связки ключей [1][2].
  • Агент-экстрактор: Извлечение файловой системы и расшифровка связки ключей для совместимых версий iOS. Также поддерживаются соответствующие модели iPad.
  • Прямое извлечение через уязвимость загрузчика: Гарантированная криминалистическая чистота извлечение; повторяемый, верифицируемый результат. Доступно для ряда моделей iPhone, к которым применим эксплойт загрузчика. Извлечение образа файловой системы и связки ключей. Поддержка моделей iPhoe 8/8Plus/X с оговорками. Также доступно для ряда планшетов, устройств iPod Touch, часов Apple Watch и приставок Apple TV. [1]
  • Расширенное логическое извлечение: Извлекается информация об устройстве, резервные копии, файлы приложений, медиа-файлы и некоторые системные журналы, включая журналы диагностики и Apple Unified Logs; доступно для всех устройств независимо от версии iOS.

Поддержка режимов DFU, Recovery и Diagnostic

Поддержка режимов обновления прошивки (DFU), восстановления (Recovery) и диагностики (Diagnostic) позволяет анализировать устройства, заблокированные после десяти неудачных попыток разблокировки, а также устройства с активированным режимом ограничений USB. Из устройств в режиме восстановления можно извлечь информацию об идентификаторе модели, ECID/UCID, серийном номере устройства, а в некоторых случаях - и его IMEI. Кроме того, в режиме восстановления определяется версия загрузчика (bootloader), что позволяет определить точную версию iOS либо диапазон версий iOS, под управлением которых может работать устройство.

Расшифровка данных «на лету»

В отличие от ранее используемых методов расшифровки, Elcomsoft iOS Forensic Toolkit работает с устройством напрямую, что позволяет расшифровывать данные «на лету». При наличии исследуемого устройства становится возможным извлечь из устройства оригинальные ключи, с помощью которых были зашифрованы данные. С помощью этих ключей расшифровка осуществляется в реальном времени – практически мгновенно.

Восстановление данных системного хранилища (keychain)

Elcomsoft iOS Forensic Toolkit предоставляет криминалистам полный доступ к информации, хранящейся в защищённом системном хранилище - связке ключей. В системном хранилище записываются такие данные, как логины и пароли к сайтам, почте, программам и прочим ресурсам. Расшифровка данных из связки ключей должна осуществляться на устройстве, экран которого остаётся разблокированным в течение всего процесса. Для поддержания экрана в разблокированном состоянии в состав iOS Forensic Toolkit включена соответствующая утилита, отключающая автоматическую блокировку экрана.

Автоматизация с Raspberry Pi Pico

Использование одноплатного микроконтроллера Raspberry Pi Pico позволяет автоматизировать рутинные процедуры.

Авто-DFU

Эта возможность позволяет переводить iPhone 8, 8 Plus и iPhone X в режим DFU в автоматическом режиме. Стандартная процедура перевода в режим DFU требует последовательного нажатия кнопок на устройстве и точного соблюдения таймингов; новый же способ перевода в DFU максимально прост, корректно переводя в режим DFU в том числе и устройства с отказавшими кнопками.

Скриншоты с прокруткой

Использование Raspberry Pi Pico позволяет частично автоматизировать процесс снятия «длинных» снимков экрана (скриншотов с прокруткой). Полуавтоматический режим снятия скриншотов доступен для всех моделей iPhone и версий iOS.

Автоматизацию снимков экрана можно рассматривать как ещё один способ доступа к данным, позволяющий извлечь информацию, недоступную в рамках расширенного логического анализа (например, историю переписки в защищённых программах мгновенного обмена сообщениями). Этот способ доступа дополняет набор дынных, доступный через расширенное логическое извлечение.

Функциональный файрволл для безопасной установки агента

При установке агента-экстрактора на устройства iOS операционная система может потребует верифицировать цифровую подпись, подключившись к серверу Apple. Установка соединения с сервером несёт риск искажения цифровых улик в в процессе нежелательной синхронизации с облаком, а в худшем случае грозит потенциальной удалённой блокировкой устройства или уничтожением данных. Использование Raspberry Pi с нашей прошивкой позволит безопасно установить агент-экстрактор, верифицировав цифровую подпись при заблокированном доступе в интернет для исследуемого устройства.

Системные требования

iOS Forensic Toolkit для Mac работает на компьютерах Mac с архитектурой процессоров Intel и Apple Silicon. Поддерживается система macOS с версии 10.12 и более новых.

Версия для Microsoft Windows работает на компьютерах под управлением Windows 7, 8, 8.1, 10 и 11. Требуется установка последней версии iTunes.

Редакция для Linux работает на компьютерах с архитектурой процессоров Intel. Поддерживаются дистрибутивы Debian, Ubuntu, Kali Linux и Mint; требуется установка библиотек.

Совместимые устройства и платформы

iOS Forensic Toolkit поддерживает низкоуровневое извлечение из моделей iPhone 3GS - iPhone 14 Pro Max. Логическое извлечение доступно для всех моделей.

Расширенный логический анализ:

  • Поддерживаются все устройства с iOS/iPad OS независимо от версии ОС
  • Ограниченная поддержка устройств Apple Watch и Apple TV
  • Подробная информация об устройстве, включая список установленных приложений
  • Резервная копию в формате iTunes (в т.ч. большая часть записей из связки ключей)
  • Медиа-файлы и файлы приложений, в том числе для случаев, когда резервная копия защищена паролем
  • Журналы sysdiagnose и Apple Unified Logs

Низкоуровневое извлечение агентом-экстрактором:

  • Поддерживаются все версии iOS/iPadOS от 12.0 до 16.6.1 включительно
  • Доступно для всех совместимых устройств iPhone и iPad (см. таблицу ниже)
  • Поддерживаются все модели устройств
  • Извлекается полный образ файловой системы и расшифровывается связка ключей

Низкоуровневое извлечение через эксплойт загрузчика:

  • Извлекается полный образ файловой системы и расшифровывается связка ключей
  • Криминалистически чистый метод
  • Поддерживаются модели устройств, подверженные эксплойту загрузчика
  • iPhone 3GS, 4, 4s, 5 и 5c и другие устройства на аналогичных чипах: подбор кода блокировки [1], физическое извлечение с расшифровкой раздела данных и связки ключей [1][2]
  • iPhone 3G, 3GS, 4, 4s, 5, 5c, 5s, 6, 6s, SE, 7, 8, X, iPod Touch 5, 6, 7, iPad 2, 3, 4, 5, 6, 7, iPad Mini 1, 2, 3, 4, iPad Air 1, 2, iPad Pro 1, 2, Apple TV 3, 4, 4K, Apple Watch S0..S3: криминалистически чистое извлечение через эксплойт загрузчика [1]
  • Apple TV 4 (проводное подключение) и Apple TV 4K (для некоторых моделей требуются специальные адаптеры [1])
  • Apple Watch (эксплойт загрузчика для Apple Watch S0..S3[1], логическое извлечение для всех моделей Apple Watch); требуется адаптер от стороннего производителя
  • HomePod (первого поколения); поддержка checkm8; требуется адаптер для подключения к USB[1]

Специализированный инструмент для извлечения данных из устройств, работающих под управлением Apple iOS методами низкоуровневого и логического анализа.

  1. Функции доступны только в редакциях iOS Forensic Toolkit 8 для macOS и Linux.  

  2. Для моделей iPhone 4s, iPod Touch 5, iPad 2 и 3 требуется использование одноплатного микроконтроллера Raspberry Pi Pico, прошивка для которого поставляется в составе дистрибутива.