有研究者最近发现了一种在运行iOS 13和iPhone 11的设备上提取完整的文件系统和钥匙串的方法,这种方法快速、简单和安全,且无需越狱。该方法是借助 Elcomsoft iOS Forensic Toolkit的最新版本,该版本填补了以前的许多空白功能。Elcomsoft iOS Forensic Toolkit的最新版本已经可以正式支持最新一代的iPhone设备,包括iPhone 11,iPhone 11和iPhone 11 Pro。
兼容性
以下型号和iOS版本支持提取代理:
1. iPhone 6s至iPhone X,iPad第5代和第6代,iPad Pro第1代和第二代,这些型号的设备运行iOS / iPadOS 11.0 - 13.3;
2. iPhone Xr,Xs,Xs Max,iPad Mini 5,第三代iPad Air,第三代iPad Pro,第七代iPod Touch,这些型号的设备运行iOS / iPadOS 12.0 - 13.3;
3. iPhone 11、11 Pro,11 Pro Max,这些型号的设备运行iOS 13.0- 13.3。
对于某些较旧的型号,兼容性保持不变。如果运行iOS 11-12.2和iOS 12.4,则支持以下型号的设备:
1. iPhone 5s,6、6 Plus;
2. iPad Mini 2和3;
3. iPad Air(第一代)。
虽然基于代理的提取方法肯定可以在运行iOS 11至12.2的这些设备上使用,但我们尚未在运行iOS 12.3、12.4.1或任何运行iOS 13的iPad Mini 4和iPad Air2设备上对其进行测试。
在运行iOS 13和iPhone 11的设备上提取完整的文件系统和钥匙串的配置
确保你的设备型号和操作系统版本兼容,并注册一个苹果开发者账号,至于具体原因请点此。当然,你也需要最新版本的iOS Forensic Toolkit。这个软件使用起来真的很简单,但是我们仍然要对它进行一些介绍。
iOS Forensic Toolkit的优势介绍
首先,iOS Forensic Toolkit的主要优点是广泛兼容多种iPhone和iPad型号设备。在未来,该工具的开发者可能会增加对老版本iOS的支持,其目的就是省去越狱的麻烦,当然开发者也会尽最大努力增加与新版本(iOS 13.3.1及以上版本)的兼容性。
其次,提取代理安全可靠,不会发生任何错误,最坏的情况也就是重启设备,否则我们的方法可能根本无法在你的设备上运行。
那这种对文件的提取是否合法?如果以法律可以接受的方式收集、分析、处理和存储数字证据,则这些数字证据被认为是合理的。使用本文介绍的方法,数字证据将不会被破坏。
对于64位的iPhone(从iPhone 5s开始),不管其他厂商怎么说,没有一种数据采集方法不会对系统做出任何更改。总是会留下一些痕迹,例如某些系统日志中的记录。
第三,iOS Forensic Toolkit的提取速度特别快。无需重新使用ssh,可以直接通过USB传输数据。这种方法更可靠,而且速度更快。在最新的iPhone设备上,速度约为2.5 GB/min。
第四,iOS Forensic Toolkit的使用非常简单。虽然它与众所周知的“一键式”解决方案相距甚远,尽管如此,和其他工具相比它已经做得非常好了,并且仍在不断地改进中。
最后,iOS Forensic Toolkit的代理不仅可以提取完整的文件系统,而且还可以提取完整的钥匙串。虽然你还可以从iTunes类的备份中提取钥匙串,但由于许多记录无法解密,因此钥匙串并不完整。而使用Elcomsoft Phone Breaker,则可以查看所有钥匙串记录:
越狱的优势
用户甚至可以通过越狱的方式获取运行iOS 13的设备型号的完整文件系统,但是有些注意事项你应该知道。比如越狱并不完全安全,它可能会使设备崩溃或进入不断地重启模式,而且即使是使用无根越狱,它还会对设备文件系统进行多次更改。
基于代理的提取是否有缺点?至少在运行iOS 11.0到13.3的设备上没有,除了checkra1n 。
另外,在iOS 13中,一些文件和文件夹的安全属性得到了改进,并且tar无法通过ssh对其进行访问,而基于代理的提取则没有这样的问题。
优于checkm8提取
Checkm8一款史上最强的iPhone越狱工具,读作checkmate。这款辅助功能非常强大,支持iPhone 4s到iPhone X之间所有机型,和其他使用同款A系列处理器的iPad、iPod touch等iOS设备,并提供一次越狱终身越狱的使用体验,并且无法被修复。
但即便Checkm8的优势很多,Elcomsoft iOS Forensic Toolkit还是具有明显的优势。
首先,checkm8只会与有限型号的设备和iOS版本兼容:iPhone 5s至iPhone X,以及iOS 12.3起。因此, iPhone Xr,Xs,11和11 Pro,以及许多iPad都无法用到这种工具;他们不容易受到这种攻击。此外,尽管该漏洞利用程序是基于硬件的,但checkra1n越狱以及当前所有基于checkm8的提取过程均与iOS 12.2及以下版本不兼容。
其次,checkra1n越狱并非100%可靠,有很多兼容设备无法使用,而checkm8也是如此。如果有错误,你的提取工作将陷入困境。要是不小心,你的设备甚至可以发生崩溃,这确实发生在我们的几个测试设备上。至于速度,由于是依靠ssh,它的性能实在是太低,比如有些提取无法在一周内完成。
不过checkra1n / checkm8仅有的两个真正优点是:
1. 它们不需要Apple开发人员帐户,并且它们允许对密码未知的设备进行BFU(首次解锁之前)提取。
2. checkra1n支持iOS 13.3.1(撰写本文时的最新版本,不过13.4有望很快发布),你可以将checkra1n与iOS Forensic Toolkit结合使用,以获取部分文件系统以及对锁定甚至理想设备的钥匙串进行提取。
使用及故障排除
确保你已阅读iOS Forensic Toolkit手册以及以下两篇文章:
1. 在macOS 10.15 Catalina上安装和使用iOS Forensic Toolkit ;
下面,我总结了在没有越狱的情况下获取iPhone(ios11和ios12)的所有步骤:
1. 将设备强制置于飞行模式,然后使用EIFT将其连接到计算机,确保通过iOS设置(而不是从控制中心)禁用了Wi-Fi和蓝牙;
2. 建立信任关系,否则你将在EIFT中收到 “ERROR: Could not connect to lockdownd, error code -2” 消息;
3. 通过EIFT安装提取代理,你需要输入Apple ID和特定于应用程序的开发人员帐户密码,然后输入TeamID。请注意,签署代理需要在你的计算机上连接互联网,但不在iOS设备上,iOS设备应该一直保持离线状态。
4. 安装代理后,建议在执行获取的计算机上禁用所有互联网连接。
5. 在设备上调整代理,并使其在前台运行。
6. 获取钥匙串并提取文件系统;在获取钥匙串期间,你必须在设备上输入密码(有时需要两次),或使用Touch ID或Face ID解锁。对于使用Face ID的设备,你将首先收到是否允许代理将其用于钥匙串访问的提示。
7. 卸载代理。
如果在设备上运行提取代理时出现问题,例如EIFT中如果出现“无法连接到指定端口上的设备”消息,则可能需要重启设备。注意,在重新启动后至少要等待一分钟,才能再启动代理。
操作提示:如果你不想在每台新设备上安装代理程序时输入Apple ID、密码和团队ID,则可以在EIFT脚本 (Windows: Toolkit.cmd, lines 20-22; macOS: macosx/Toolkit.sh, lines 42-44)中直接设置它们:· [email protected]
· AGENT_PASSWORD=abcd-efgh-ijkl-mnop
· AGENT_TEAMID=XXXXXXXXXX
其中AGENT_ID是注册到Apple Developer Program的Apple ID; AGENT_PASSWORD是你应该在帐户上生成的特定于应用程序的密码,而AGENT_TEAMID是团队ID,你可以通过登录到Apple的开发人员中心,在“帐户” |“成员身份”中的“成员身份信息”下轻松找到它。
本文翻译自:https://blog.elcomsoft.com/2020/03/full-file-system-and-keychain-extraction-now-with-ios-13-and-iphone-11-support/如若转载,请注明原文地址: