如何在运行iOS 13和iPhone 11的设备上提取完整的文件系统和钥匙串? - 嘶吼 RoarTalk – 网络安全行业综合服务平台,4hou.com

如何在运行iOS 13和iPhone 11的设备上提取完整的文件系统和钥匙串?

gejigeji 系统安全 2020-03-30 10:10:00
1806019
收藏

导语:有研究者最近发现了一种在运行iOS 13和iPhone 11的设备上提取完整的文件系统和钥匙串的方法,这种方法快速、简单和安全,且无需越狱。

有研究者最近发现了一种在运行iOS 13和iPhone 11的设备上提取完整的文件系统和钥匙串的方法,这种方法快速、简单和安全,且无需越狱。该方法是借助 Elcomsoft iOS Forensic Toolkit的最新版本,该版本填补了以前的许多空白功能。Elcomsoft iOS Forensic Toolkit的最新版本已经可以正式支持最新一代的iPhone设备,包括iPhone 11,iPhone 11和iPhone 11 Pro。

兼容性

以下型号和iOS版本支持提取代理:

1. iPhone 6s至iPhone X,iPad第5代和第6代,iPad Pro第1代和第二代,这些型号的设备运行iOS / iPadOS 11.0 - 13.3;

2. iPhone Xr,Xs,Xs Max,iPad Mini 5,第三代iPad Air,第三代iPad Pro,第七代iPod Touch,这些型号的设备运行iOS / iPadOS 12.0 - 13.3;

3. iPhone 11、11 Pro,11 Pro Max,这些型号的设备运行iOS 13.0- 13.3。

对于某些较旧的型号,兼容性保持不变。如果运行iOS 11-12.2和iOS 12.4,则支持以下型号的设备:

1. iPhone 5s,6、6 Plus;

2. iPad Mini 2和3;

3. iPad Air(第一代)。

虽然基于代理的提取方法肯定可以在运行iOS 11至12.2的这些设备上使用,但我们尚未在运行iOS 12.3、12.4.1或任何运行iOS 13的iPad Mini 4和iPad Air2设备上对其进行测试。

1.png

在运行iOS 13和iPhone 11的设备上提取完整的文件系统和钥匙串的配置

确保你的设备型号和操作系统版本兼容,并注册一个苹果开发者账号,至于具体原因请点此。当然,你也需要最新版本的iOS Forensic Toolkit。这个软件使用起来真的很简单,但是我们仍然要对它进行一些介绍。

2.png

iOS Forensic Toolkit的优势介绍

首先,iOS Forensic Toolkit的主要优点是广泛兼容多种iPhone和iPad型号设备。在未来,该工具的开发者可能会增加对老版本iOS的支持,其目的就是省去越狱的麻烦,当然开发者也会尽最大努力增加与新版本(iOS 13.3.1及以上版本)的兼容性。

其次,提取代理安全可靠,不会发生任何错误,最坏的情况也就是重启设备,否则我们的方法可能根本无法在你的设备上运行。

3.png

4.png

那这种对文件的提取是否合法?如果以法律可以接受的方式收集、分析、处理和存储数字证据,则这些数字证据被认为是合理的。使用本文介绍的方法,数字证据将不会被破坏。

对于64位的iPhone(从iPhone 5s开始),不管其他厂商怎么说,没有一种数据采集方法不会对系统做出任何更改。总是会留下一些痕迹,例如某些系统日志中的记录。

第三,iOS Forensic Toolkit的提取速度特别快。无需重新使用ssh,可以直接通过USB传输数据。这种方法更可靠,而且速度更快。在最新的iPhone设备上,速度约为2.5 GB/min。

第四,iOS Forensic Toolkit的使用非常简单。虽然它与众所周知的“一键式”解决方案相距甚远,尽管如此,和其他工具相比它已经做得非常好了,并且仍在不断地改进中。

最后,iOS Forensic Toolkit的代理不仅可以提取完整的文件系统,而且还可以提取完整的钥匙串。虽然你还可以从iTunes类的备份中提取钥匙串,但由于许多记录无法解密,因此钥匙串并不完整。而使用Elcomsoft Phone Breaker,则可以查看所有钥匙串记录:

5.png

越狱的优势

用户甚至可以通过越狱的方式获取运行iOS 13的设备型号的完整文件系统,但是有些注意事项你应该知道。比如越狱并不完全安全,它可能会使设备崩溃或进入不断地重启模式,而且即使是使用无根越狱,它还会对设备文件系统进行多次更改。

基于代理的提取是否有缺点?至少在运行iOS 11.0到13.3的设备上没有,除了checkra1n 。

另外,在iOS 13中,一些文件和文件夹的安全属性得到了改进,并且tar无法通过ssh对其进行访问,而基于代理的提取则没有这样的问题。

优于checkm8提取

Checkm8一款史上最强的iPhone越狱工具,读作checkmate。这款辅助功能非常强大,支持iPhone 4s到iPhone X之间所有机型,和其他使用同款A系列处理器的iPad、iPod touch等iOS设备,并提供一次越狱终身越狱的使用体验,并且无法被修复。

但即便Checkm8的优势很多,Elcomsoft iOS Forensic Toolkit还是具有明显的优势。

首先,checkm8只会与有限型号的设备和iOS版本兼容:iPhone 5s至iPhone X,以及iOS 12.3起。因此, iPhone Xr,Xs,11和11 Pro,以及许多iPad都无法用到这种工具;他们不容易受到这种攻击。此外,尽管该漏洞利用程序是基于硬件的,但checkra1n越狱以及当前所有基于checkm8的提取过程均与iOS 12.2及以下版本不兼容。

其次,checkra1n越狱并非100%可靠,有很多兼容设备无法使用,而checkm8也是如此。如果有错误,你的提取工作将陷入困境。要是不小心,你的设备甚至可以发生崩溃,这确实发生在我们的几个测试设备上。至于速度,由于是依靠ssh,它的性能实在是太低,比如有些提取无法在一周内完成。

不过checkra1n / checkm8仅有的两个真正优点是:

1. 它们不需要Apple开发人员帐户,并且它们允许对密码未知的设备进行BFU(首次解锁之前)提取。

2. checkra1n支持iOS 13.3.1(撰写本文时的最新版本,不过13.4有望很快发布),你可以将checkra1n与iOS Forensic Toolkit结合使用,以获取部分文件系统以及对锁定甚至理想设备的钥匙串进行提取。

使用及故障排除

确保你已阅读iOS Forensic Toolkit手册以及以下两篇文章:

1. 在macOS 10.15 Catalina上安装和使用iOS Forensic Toolkit

2. Windows上的iOS采集:提示与技巧

下面,我总结了在没有越狱的情况下获取iPhone(ios11和ios12)的所有步骤:

1. 将设备强制置于飞行模式,然后使用EIFT将其连接到计算机,确保通过iOS设置(而不是从控制中心)禁用了Wi-Fi和蓝牙;

2. 建立信任关系,否则你将在EIFT中收到 “ERROR: Could not connect to lockdownd, error code -2” 消息;

3. 通过EIFT安装提取代理,你需要输入Apple ID和特定于应用程序的开发人员帐户密码,然后输入TeamID。请注意,签署代理需要在你的计算机上连接互联网,但不在iOS设备上,iOS设备应该一直保持离线状态。

4. 安装代理后,建议在执行获取的计算机上禁用所有互联网连接。

5. 在设备上调整代理,并使其在前台运行。

6. 获取钥匙串并提取文件系统;在获取钥匙串期间,你必须在设备上输入密码(有时需要两次),或使用Touch ID或Face ID解锁。对于使用Face ID的设备,你将首先收到是否允许代理将其用于钥匙串访问的提示。

7. 卸载代理。

6.png

如果在设备上运行提取代理时出现问题,例如EIFT中如果出现“无法连接到指定端口上的设备”消息,则可能需要重启设备。注意,在重新启动后至少要等待一分钟,才能再启动代理。

7.png

操作提示:如果你不想在每台新设备上安装代理程序时输入Apple ID、密码和团队ID,则可以在EIFT脚本 (Windows: Toolkit.cmd, lines 20-22; macOS: macosx/Toolkit.sh, lines 42-44)中直接设置它们:· AGENT_ID=john.doe@gmail.com

· AGENT_PASSWORD=abcd-efgh-ijkl-mnop

· AGENT_TEAMID=XXXXXXXXXX

其中AGENT_ID是注册到Apple Developer Program的Apple ID; AGENT_PASSWORD是你应该在帐户上生成的特定于应用程序的密码,而AGENT_TEAMID是团队ID,你可以通过登录到Apple的开发人员中心,在“帐户” |“成员身份”中的“成员身份信息”下轻松找到它。

本文翻译自:https://blog.elcomsoft.com/2020/03/full-file-system-and-keychain-extraction-now-with-ios-13-and-iphone-11-support/如若转载,请注明原文地址:
  • 分享至
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

发表评论

 
本站4hou.com,所使用的字体和图片文字等素材部分来源于原作者或互联网共享平台。如使用任何字体和图片文字有侵犯其版权所有方的,嘶吼将配合联系原作者核实,并做出删除处理。
©2022 北京嘶吼文化传媒有限公司 京ICP备16063439号-1 本站由 提供云计算服务