iOS越狱和物理取证指南

lucywang 逆向破解 2019年7月20日发布
Favorite收藏

导语:除非你使用GrayShift或Cellebrite服务进行iPhone取证,否则越狱是物理取证的先决条件。

除非你使用GrayShift或Cellebrite服务进行iPhone取证,否则越狱是物理取证的先决条件。物理访问比其他类型的取证方式更具优势了,因此,专家和取证专家需要越狱。

为物理取证而安装越狱的程序与用于研究或其他目的的越狱有很大不同,主要区别是取证专家正在努力使设备保持离线状态,以防止数据泄漏、不必要的同步,这些问题可能会远程阻止或删除设备。

在对iOS设备进行取证时,建议执行以下步骤。

1.准备好设备并进行逻辑取证

1.1在设备上启用飞行模式:这样做是为了将设备与无线网络隔离,并切断互联网连接。

1.2确认Wi-Fi、蓝牙和移动数据切换都已关闭:最新版本的iOS允许保持或手动切换Wi-Fi和蓝牙连接,即使在飞机模式激活后也是如此。这使得iOS设备能够与Apple Watch、无线耳机和其他配件保持连接。由于在取证过程中我们不希望使用这些选项,所以需要确保禁用所有这些连接选项。

1.3解锁设备,不要删除密码:虽然你可以在不解锁手机的情况下将手机切换到飞行模式,但剩下的操作将需要解锁手机屏幕。虽然一些越狱和获取指南(包括我们自己的旧指南)可能建议你删除密码,但不要这样做。删除密码会让iOS删除某些类型的数据,比如Apple Pay交易、下载的Exchange邮件和其他一些零碎的数据。所以再强调一遍,不要删除密码。

1.4通过建立信任将设备与计算机配对(注意:需要密码!):从ios11开始,iOS设备需要密码才能与计算机建立配对关系。这意味着你需要密码才能把iPhone和你的电脑配对。如果没有结对,你就无法将越狱的IPA安装到手机上。

1.5确保你的计算机的Wi-Fi是禁用的:这个必需的步骤经常被遗忘,导致取证失败。虽然不是很明显,但我们强烈建议如果你的电脑上有Wi-Fi连接,就禁用它。如果你在计算机上启用Wi-Fi,而网络上有另一个iOS设备,iOS Forensic Toolkit可能会意外地连接到另一个设备,并且取证将失败。

1.6启动iOS取证工具包:确保iPhone和许可证加密狗都连接到计算机的USB端口。iOS取证工具包可从https://www.elcomsoft.com/eift.html获得。

1.7使用iOS取证工具包,执行逻辑获取的所有步骤:iOS取证工具包支持“高级逻辑取证”。在此过程中,你将进行新的本地备份,获取设备信息(硬件、iOS版本、已安装应用程序列表),取证崩溃日志、媒体文件和共享的应用程序数据。如果iOS设备没有备份密码,iOS Forensic Toolkit会将临时密码设置为“123”,以便访问特定类型的数据(如消息和钥匙串项)。如果配置了备份密码而你不知道,你可以在设备上重置备份密码(ios11和ios12:重置所有设置命令;),然后重复上述步骤。不过,由于Reset All Settings命令还会删除设备密码,你将无法访问Apple Pay交易和其他一些数据。有关说明,请参阅《如果必须重置备份密码》

2. 准备越狱

2.1识别设备正在运行的硬件和iOS版本(iOS Forensic Toolkit > (I)nformation)。

2.2识别正确的越狱支持设备硬件和软件的组合。以下越狱可用于iOS的最新版本:iOS 12 – 12.1.2:

RootlessJB(推荐与硬件/iOS版本兼容,因为它是入侵最少的): https://github.com/jakeajames/rootlessJBiOS%2011.x%20–%2012%20–%2012.1.2

unc0ver jailbreak(源代码可用):https://github.com/pwn20wndstuff/Undecimus

iOS 12 – 12.1.2

Chimera jailbreak: https://chimera.sh/

2.3确保你有一个在苹果开发者计划中注册的苹果账号(注册开发者需要缴纳年费)。使用Apple Developer Program注册的Apple帐户,可以在设备离线时侧载IPA,而无需在设备设置中手动批准签名证书(这要求设备连接到Apple服务器)。

注意:你需要一个“企业”开发人员帐户。

2.4登录你的开发人员Apple帐户并创建一个特定于应用程序的密码,所有参加苹果开发者项目的苹果账户都必须经过双重认证。由于Cydia Impactor不支持双因素身份验证,因此需要一个特定于应用程序的密码来签名并附带越狱IPA。

2.5使用Apple开发人员帐户的Apple ID和特定于应用程序的密码启动Cydia Impactor并附带越狱IPA。

注意:Cydia将提示使用哪个签名证书,从列表中选择开发人员证书。由于你已经使用开发人员帐户对IPA文件进行了签名,因此不需要在iOS设备上批准签名证书,iOS设备将保持离线状态。

2.6启动越狱并按照说明操作,注意:如果越狱提供了系统快照,我们建议创建一个系统快照。

3.越狱故障排除

现代越狱(针对iOS 10和更新版本)使用起来相对安全,因为它们不修改内核。因此,越狱设备将始终以非越狱状态启动;每次重启后都必须重新应用越狱。

越狱利用操作系统中的漏洞链来获得超级用户权限、逃离沙箱并允许执行未签名的应用程序。由于多个漏洞被连续利用,越狱过程可能会在任何时候失败。

越狱尝试第一次就失败是很正常的。如果第一次尝试失败,你可以使用以下选项进行故障排除:

3.1通过重新运行越狱应用程序重新尝试越狱。

3.2如果此操作失败,请重新启动设备,使用密码解锁,然后等待大约3分钟以允许所有后台进程启动,然后重新尝试越狱。

3.3你可能需要重复步骤2几次才能安装越狱,但是,如果在多次尝试之后上面的方法都不起作用,我们建议尝试另一种越狱工具。例如,我们统计了iOS 12.0-12.1.2中不少于五种不同的越狱工具,其中一些工具在某些硬件上提供更高的成功率。

3.4一些越狱有特定的要求,比如检查是否下载了iOS更新(如果下载了更新,则删除)。所以,越狱前请检查所附带信息。

iOS取证工具包的使用说明

如果因为任何原因你必须关闭和重启iOS取证工具包,请确保同时关闭第二个窗口(安全通道窗口)。

如果iOS取证工具包已连接到设备,但却得不到意料之中的效果,请关闭iOS取证工具包(两个窗口),并确保你的计算机没有连接到Wi-Fi网络。如果没有得到意料之中的效果,就继续禁用有线网络连接,因为你的计算机可能与其他iOS设备在同一网络上运行。

Windows: iOS取证工具包的Windows版本将尝试将取证的信息保存到安装该工具的文件夹中,虽然你可以指定自己的存储数据路径,但是将EIFT安装移动到更短的路径(例如x:\ EIFT \)可能更容易。

Mac:一个常见的错误是试图直接从安装的DMG映像运行iOS取证工具,解决办法就是创建一个本地目录并将EIFT复制到该位置。

如果必须重置备份密码,该怎么办?

如果iPhone备份受未知密码保护,你可能会尝试使用“重置所有设置”命令,来快速重置该密码。我们建议谨慎使用此选项,并且只在“按原样”进行完整的本地备份之后才能使用。

使用“重置所有设置”命令还将删除设备密码,这意味着iOS将删除依赖密码保护的数据类型。这包括Apple Pay交易、下载的交换消息和其他一些数据。为了保存所有这些证据,我们建议取证顺序采用以下步骤:

1.使用iOS取证工具包(备份、媒体文件、崩溃日志、共享应用数据)“按原样”执行完整的逻辑采集;

2.越狱开始运行并捕获钥匙串和文件系统映像,如果成功,钥匙串将包含备份密码。

3.重置备份密码:如果在执行了相关的故障排除步骤之后,仍然无法安装越狱并执行物理取证,请考虑重置备份密码并再次执行逻辑获取步骤来捕获备份。

请注意:如果你在重置密码后使用iOS取证工具包创建备份,则该备份将使用临时密码“123”进行保护。

从钥匙串中提取备份密码

如果你已成功执行物理采集,则你已经拥有解密的iOS钥匙串。钥匙串存储备份密码,你可以使用该备份密码来解密设备备份。备份密码存储在“BackupAgent”项中,如以下屏幕截图所示:

backup_pass.png

在该屏幕截图中,备份密码为“JohnDoe”。

要发现该密码,请启动Elcomsoft Phone Breaker并在主屏幕上选择Explore keychain。点击“浏览”>“选择其他”,然后指定使用iOS Forensic Toolkit提取的keychaindumpo.xml文件的路径。

由于钥匙串总是加密的,备份密码存储在ThisDeviceOnly属性中,只能通过物理获取来取证。

执行物理取证

一旦设备被越狱,就可以取证文件系统的内容,获取并解密钥匙串。

1.确保iOS设备处于飞行模式,并禁用Wi-Fi、蓝牙和移动数据切换。

2.确保你的计算机的Wi-Fi是禁用的,这个必需的步骤经常被遗忘,导致取证失败。虽然不是很明显,但我们强烈建议如果你的电脑上有Wi-Fi连接,就禁用它。如果你在计算机上启用Wi-Fi,而网络上有另一个iOS设备,iOS Forensic Toolkit可能会意外地连接到另一个设备,并且取证将失败。

3.确保iOS设备已与计算机配对或者你已准备好有效的配对/锁定文件。

4.解锁iOS设备并确保其显示已打开,将iOS设备连接到计算机。

注意:不要删除设备上的密码!否则,你将无法访问某些类型的证据,比如Apple Pay交易、下载的Exchange邮件和其他一些数据。

5.启动iOS取证工具包。

6.使用主窗口中的(D)isable screen lock命令来防止iOS设备自动锁定,这是访问设备锁定时iOS尝试保护的文件系统的某些元素所必需的。防止屏幕锁定是解决这些保护措施的最简单方法。

7.提取钥匙串。

8. 提取文件系统映像。

分析数据

此时,你可能拥有以下全部或部分证据:

1.关于设备的信息(XML)和已安装的应用程序列表(文本文件),使用任何XML或文本查看器进行分析。

2.iTunes格式的本地备份,如果你遵循了该指南,备份将使用密码加密,密码为“123”。你可以在任何支持iTunes备份的取证工具(如Elcomsoft Phone Viewer)中打开备份。为了分析钥匙串,你必须使用Elcomsoft Phone Breaker打开备份。

3.崩溃日志,你可以使用文本编辑器分析这些。或者,参考以下关于日志文件分析的过程:iOS sysdiagnosis Research  (脚本:iOS sysdiagnosis forensic scripts )。

4.媒体文件,使用任何图库或照片查看器应用程序。你可能希望使用可以提取EXIF信息的工具,尤其是地理标记,以便重新创建嫌疑人的位置历史记录。

5.共享文件,这些文件可以是任何格式,最常见的是plist、XML或SQLite。

6.钥匙串(使用iOS取证工具包提取的),使用Elcomsoft Phone Breaker进行分析。钥匙串包含用户在Safari、系统和第三方应用程序中保存的密码。这些密码可以用来登录用户的邮件和社交网络账户。密码还可用于创建高度针对性的自定义词典,使用Elcomsoft Distributed Password Recovery等工具攻击加密文档和全磁盘加密。

7.文件系统映像(使用iOS Forensic Toolkit提取),使用Elcomsoft Phone Viewer进行分析,或者解压TAR文件,手动或使用你最喜欢的取证工具进行分析。

本文翻译自:https://blog.elcomsoft.com/2019/05/step-by-step-guide-to-ios-jailbreaking-and-physical-acquisition/如若转载,请注明原文地址: https://www.4hou.com/reverse/18468.html
点赞 3
iOS
  • 分享至
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

发表评论