В данном руководстве систематизирована информация по извлечению данных из iPhone и некоторых других устройств Apple, описаны подходы, стратегии и особенности разных методов, а также типичные ошибки.
Author(s): Элкомсофт
Publisher: Элкомсофт
Year: 2023
Language: Russian
Pages: 197
Tags: ios
Содержание
1. Введение
2. С чего начать?
2.1. Определение модели устройства
2.1.1. Программный способ (рекомендуемый)
2.1.2. Идентификация модели по внешнему виду
2.1.3. Поиск номера модели устройства по маркировке
2.2. Специальные режимы: Diagnostic, Recovery и DFU
2.2.1. Способ 1: режим диагностики
2.2.2. Способ 2: режим Recovery
2.2.3. Способ 3: режим DFU
2.3. Блокировка экрана и биометрические датчики
2.4. Режимы S.O.S. и защитный режим USB
2.5. Риск удалённой блокировки устройства и уничтожения улик
2.6. Криминалистическая чистота извлечения
2.6.1. Что такое «криминалистически чистое» извлечение?
2.6.2. Целостность и неизменность пользовательских данных
2.6.3. Проверка целостности данных
2.6.4. Повторяемость результата
2.6.5. Достижима ли криминалистическая чистота извлечения в современных устройствах?
2.6.6. Краткий обзор методов извлечения данных
2.6.7. Криминалистическая чистота логического анализа
2.6.8. Криминалистическая чистота облачного анализа
2.6.9. Запрос облачных данных у производителя
2.6.10. Криминалистическая чистота при низкоуровневом извлечении
2.6.11. Как превратить улики в доказательства
2.7. Транспортировка: изолирование устройства от беспроводных сетей
2.7.1. Клетка Фарадея
2.7.2. Клетка Фарадея и полётный режим
2.8. Хранение устройства
2.9. Удастся ли извлечь данные?
2.10. Документирование
3. Последующие шаги
3.1. Для чего нужен и почему важен код блокировки экрана
3.2. Взлом пароля (кода блокировки экрана)
3.3. Методы извлечения и порядок их использования
3.4. Зависимость методов извлечения от аппаратной платформы и версии iOS
3.5. Методы, которые не работают
4. Методы извлечения данных
4.1. Расширенное логическое извлечение
4.1.1. Ограничения метода
4.1.2. Достоинства метода
4.2. Облачное извлечение
4.2.1. Ограничения метода
4.2.2. Достоинства метода
4.3. Низкоуровневое извлечение
4.3.1. Агент-экстрактор
4.3.2. Эксплойт загрузчика
4.4. Сравнение доступных данных
5. Извлечение данных: логическое извлечение
5.1. Что входит в состав расширенного логического извлечения
5.2. Сопряжение устройства с компьютером
5.2.1. Действия по сопряжению устройства с компьютером
5.3. Депонированные ключи (файлы lockdown)
5.3.1. Ограничения депонированных ключей
5.3.2. Пути к депонированным ключам
5.3.3. Использование депонированных ключей в Elcomsoft iOS Forensic Toolkit
5.4. Локальные резервные копии
5.4.1. Как создаются резервные копии iOS
5.4.2. Пароли к резервным копиям
5.4.3. С паролем или без?
5.4.4. Что делать, если пароль к резервной копии неизвестен
5.4.5. Сброс пароля к резервной копии: что для этого нужно, как проделать, последствия
5.4.6. Проблемы в процессе сброса пароля к резервной копии
5.4.7. Восстановление оригинального пароля в Elcomsoft Phone Breaker
5.5. Медиафайлы
5.6. Системные журналы
5.7. Данные приложений (shared files)
5.8. Шаги для логического извлечения данных
6. Извлечение данных: облачный анализ
6.1. Роль специализированного ПО в облачной криминалистике
6.2. Запрос данных у Apple
6.3. Преимущества и недостатки облачного анализа
6.3.1. Роль двухфакторной аутентификации
6.4. Доступные данные: типы контейнеров
6.4.1. Контейнер 1: резервные копии
6.4.2. Контейнер 2: синхронизированные данные
6.4.3. Контейнер 3: данные в iCloud Drive
6.4.4. Контейнер 4: сквозное шифрование
6.4.4.1. Пароль Экранного времени
6.4.5. Контейнер 5: неизвлекаемые данные
6.4.6. Advanced Data Protection в iCloud
6.5. Что нужно для извлечения через облако
6.6. Получение пароля к Apple ID и кода двухфакторной аутентификации
6.7. Облачное извлечение: пошаговая инструкция
6.8. Маркеры аутентификации
6.8.1. Ограничения
6.8.2. Извлечение
6.8.3. Авторизация с использованием маркеров аутентификации
7. Извлечение данных: низкоуровневый анализ
7.1. Способы низкоуровневого анализа и различия между ними
7.1.1. Агент-экстрактор
7.1.2. Джейлбрейк
7.1.3. Уязвимость загрузчика
7.2. Для чего нужен код блокировки экрана
7.3. Способ 1: использование агента-экстрактора
7.3.1. Совместимость и требования
7.3.2. Учётная запись Apple ID для установки сторонних приложений
7.3.3. Установка iOS Forensic Toolkit
7.3.4. Установка агента-экстрактора
7.3.5. Особенности установки агента-экстрактора
7.3.5.1. Риски при установке агента-экстрактора
7.3.5.2. Программа Apple для разработчиков
7.3.5.3. Ограничение на количество устройств
7.3.5.4. Снижение рисков при использовании обычных учётных записей
7.3.5.4.1. Способ 1: программный
7.3.5.4.2. Способ 2: с использованием Raspberry Pi
7.3.6. Использование агента
7.3.7. Последовательность шагов
7.4. Способ 2: эксплойт загрузчика для iPhone
7.4.1. Вводный раздел и теория
7.4.1.1. Определения
7.4.1.2. Преимущества iOS Forensic Toolkit
7.4.1.3. Принцип работы
7.4.1.4. Возможные действия с заблокированными устройствами
7.4.1.5. Поддержка iPhone 8, 8 Plus и iPhone X и iOS 16
7.4.1.6. Использование checkm8 для взлома кода блокировки
7.4.2. Как добиться повторяемого результата при использовании checkm8
7.4.2.1. Флаг автозагрузки
7.4.2.2. Нарушает ли изменение флага автозагрузки принцип криминалистической чистоты?
7.4.3. Глубокий разряд аккумулятора
7.4.4. Подготовка к работе
7.4.5. Ввод в режим DFU
7.4.6. Руководство по использованию iOS Forensic Toolkit 8.0
7.4.6.1. Установка iOS Forensic Toolkit 8.0 для Mac
7.4.6.2. Параметры командной строки
7.4.7. Извлечение через эксплойт загрузчика: обзорные инструкции
7.4.8. Извлечение через эксплойт загрузчика: подробные инструкции
7.4.8.1. iOS/iPadOS 16.1 и 16.2
7.4.9. Проблемы и решения
7.4.9.1. После извлечения через checkm8 устройство перезагружается в режим Recovery
7.4.9.2. Ошибка при попытке извлечения 32-разрядного устройства
7.4.9.3. Сброс кода блокировки экрана: применимость и риски
7.4.9.4. Невозможно перевести устройство в режим DFU
7.4.9.5. Несовпадение версии прошивки, ошибка автоматического определения версии
7.4.9.6. В выходных данных присутствует предупреждение 'Snapshot'
7.4.9.7. Повреждения файловой системы, проблемные файлы APFS 'copy-on-write'
7.4.9.8. Неизвестный код блокировки экрана
7.4.9.9. Индикация на экране устройства
7.5. Способ 2.1: эксплойт загрузчика и часы Apple Watch S0-S3
7.5.1. Адаптеры USB для часов Apple Watch
7.5.2. Совместимость
7.5.3. Подготовка к работе
7.5.4. Анализ данных
7.5.5. Apple Watch: извлечение данных через checkm8
7.5.6. Пошаговое руководство
7.6. Способ 2.2: эксплойт загрузчика и приставки Apple TV 3, Apple TV 4 (HD), Apple TV 4K
7.6.1. Apple TV: извлечение данных через эксплойт загрузчика
7.6.2. Перевод приставок Apple TV в режим DFU
7.6.2.1. Apple TV 3 (2012 и 2013)
7.6.2.2. Apple TV HD (4 поколение)
7.6.2.3. Apple TV 4K (2017)
7.7. Способ 2.3: эксплойт загрузчика и колонки HomePod
7.7.1. Подготовка к работе
7.7.2. Скрытый порт диагностики
7.7.3. Эксплуатация уязвимости checkm8
7.7.4. HomePod и checkm8: шпаргалка
7.7.5. Перевод колонки HomePod в режим DFU
7.7.6. Извлечение данных из HomePod: последовательность шагов
7.8. Способ 3: использование джейлбрейка
7.8.1. Сопутствующие риски
7.8.2. В каких случаях имеет смысл использовать джейлбрейк
7.8.3. Извлечение данных с использованием джейлбрейка
7.8.4. Возможные проблемы
8. Устаревшие устройства: 32-разрядные модели без Secure Enclave
8.1. Шпаргалка: извлечение данных из 32-разрядных устройств
8.2. Извлечение данных и подбор кода блокировки
8.2.1. Флаг автозагрузки
8.2.2. Ввод устройства в режим DFU
8.2.3. Создание образа пользовательского раздела
8.2.4. Получение BFU ключей
8.2.5. Получение полного набора ключей шифрования
8.2.5.1. Извлечение файла systembag.kb
8.2.5.2. Подбор кода блокировки экрана
8.2.5.3. Получение полного набора ключей шифрования
8.2.6. Расшифровка образа диска
8.2.7. Извлечение связки ключей
8.2.8. Окончание работы с устройством
9. iPhone 4s
9.1. Сборка микроконтроллера Pico
9.1.1. Подробнее об источнике питания
9.1.2. Прошивка микроконтроллера Pico
9.1.3. Дальнейшие действия
9.1.4. Особенности установки эксплойта
9.1.5. Дальнейшие действия
10. Просмотр и анализ данных
10.1. Источники данных
10.2. Информация об устройстве, список установленных приложений
10.3. Бесплатные утилиты
10.4. Наборы скриптов
11. Вопросы и ответы
12. iOS Forensic Toolkit: полезные команды и примеры использования
12.1. Команды, выполняющиеся из режима восстановления (recovery)
12.2. Команды, выполняющиеся из режима pwnedDFU
12.3. Команды для устройств, загруженных в ОС
13. Дополнительные материалы
13.1. Сравнение редакций iOS Forensic Toolkit: Windows, Linux, macOS
13.2. Дополнительное оборудование для iOS Forensic Toolkit
13.2.1. Программный продукт: Elcomsoft iOS Forensic Toolkit
13.2.2. Компьютер Mac
13.2.3. Raspberry Pi Pico
13.2.4. Raspberry Pi 3/4
13.2.5. Кабели
13.2.6. Адаптеры
13.2.7. Дополнительные и необязательные аксессуары
13.3. Список соответствия идентификаторов моделей Apple
13.4. Эволюция системы безопасности в версиях iOS
13.5. Аппаратный ввод в режим DFU: когда не работают кнопки
13.6. Использование USB хабов для повышения стабильности работы checkm8/checkra1n с компьютерами на Apple Silicon
13.7. Использование обычной учётной записи для подписи агента-экстрактора
13.8. Raspberry Pi Pico: функции автоматизации
13.8.1. Автоматический ввод в DFU
13.8.1.1. Подготовка к работе
13.8.1.2. Ввод в DFU
13.8.1.3. Информация об авторском праве
13.8.2. Длинные скриншоты (скриншоты с прокруткой)
13.8.2.1. Настройка Raspberry Pi Pico
13.8.2.2. Особенности и решение проблем
13.8.2.3. Экспериментальный статус
13.9. Raspberry Pi 3/4: функциональный файрволл для безопасной установки агента-экстрактора
13.9.1. Дополнительное оборудование
13.9.2. Инструкции по установке прошивки на Raspberry Pi
13.10. Orange Pi R1 Plus LTS: функциональный файрволл для безопасной установки агента-экстрактора
13.10.1. Дополнительное оборудование
13.10.2. Инструкции по установке прошивки на Orange Pi R1 Plus LTS
14. Список литературы
