Forensischer Zugang zu iPhone-, iPad-, und iPod-Geräten mit Apple iOS-Betriebssystem
Führen Sie eine komplette forensische Erfassung der Nutzerdaten von iPhone-, iPad- und iPod-Geräten durch. Elcomsoft iOS Forensic Toolkit erlaubt, ein Image vom Dateisystem des Geräts zu erstellen, um geheime Daten zu extrahieren (Codesperren, Passwörter und Codeschlüssel) und über Lockdown-Datensätze auf gesperrte Geräte zugreifen.
Siehe Kompatible Geräte und Plattformen für weitere Einzelheiten.
Physische Erfassung von iOS-Geräten
Die physische Erfassung ist die einzige Erfassungsmethode, um vollständige Anwendungsdaten, geschützte Schlüsselbundelemente, heruntergeladene Nachrichten und den Standortverlauf zu extrahieren. Die physische Erfassung liefert mehr Informationen in Vergleich zur logischen Erfassung aufgrund des direkten Low-Level-Zugriffs auf Daten.
Elcomsoft iOS Forensic Toolkit unterstützt "Jailbroken" 64-Bit-Geräte (iPhone 5s und neuer) mit den meisten Versionen von iOS (vorbehaltlich der Verfügbarkeit von Jailbreak). Die Verwendung eines Bootrom-basierten Jailbreak ermöglicht die teilweise Erfassung von Dateisystemen und Schlüsselbunden für gesperrte und deaktivierte iPhone-Modelle von iPhone 5s bis iPhone X (über checkra1n-Jailbreak). Für diese Gerätereihe sind ein vollständiges Dateisystem und eine vollständige Schlüsselbunderfassung für entsperrte Geräte verfügbar.
Vollständige Dateisystem-Extraktion und Entschlüsselung des Schlüsselbunds ohne Jailbreak
Für eine begrenzte Anzahl von iOS-Geräten ist eine jailbreakfreie Extraktionsmethode verfügbar, die auf dem direkten Zugriff auf das Dateisystem basiert. Mithilfe eines eigens entwickelten Extraktionswerkzeugs installiert diese Erfassungsmethode einen Extraktionsagenten auf dem Gerät, das erfasst wird. Der Agent kommuniziert mit dem Computer des Experten und bietet eine robuste Leistung und eine extrem hohe Extraktionsgeschwindigkeit von über 2.5 GB Daten pro Minute.
Besser noch: Die agentenbasierte Extraktion ist absolut sicher, da sie weder die Systempartition verändert noch das Dateisystem erneut bereitstellt, während das automatische Hashing der extrahierten Informationen im laufenden Betrieb durchgeführt wird. Die agentenbasierte Extraktion nimmt keine Änderungen an den Benutzerdaten vor und bietet eine forensisch fundierte Extraktion.
Sowohl das Dateisystem-Image als auch alle Schlüsselbunddatensätze werden extrahiert und entschlüsselt. Die neue agentenbasierte Extraktionsmethode liefert eine solide Leistung und führt zu einer forensisch einwandfreien Extraktion. Der Agent kann nach Abschluss der Extraktion mit einem einzigen Befehl vom Gerät entfernt werden.
Man kann entweder das gesamte Dateisystem extrahieren oder das Express-Extrahieren verwenden und nur die Dateien der Benutzerpartition abrufen. Das Express-Extrahieren von Daten trägt dazu bei, Zeit und Speicherplatz zu sparen, indem nur der Inhalt der Datenpartition abgerufen wird, während die Systempartition übergangen wird.
Die Agenten-basierte Methode erfordert ein Apple-Konto, das im Apple Developer-Programm registriert ist. Die macOS-Version hebt diese Einschränkung vollständig auf und erlaubt übliche IDs von Apple zum Laden der Extraktions-Binärdatei zu verwenden.
Entsperren und Imaging der älteren Geräte: iPhone 4, 5 und 5c
Mit dem Toolkit können verschlüsselte iPhone 4-, 5- und 5c-Geräte entsperrt werden, die mit einem unbekannten Bildschirm-Passwort geschützt sind. EIFT stellt die ursprüngliche 4-stellige oder 6-stellige PIN wieder her. Der DFU-Angriff arbeitet mit einer Geschwindigkeit von 13,6 Passcodes pro Sekunde. Das Entsperren eines mit 4-stelligen PINs geschützten iPhone 5 oder 5c dauert weniger als 12 Minuten. Das Wiederherstellen von 6-stelligen PINs dauert bis zu 21 Stunden. Aus diesem Grund haben wir einen intelligenten Angriff auf 6-stellige Passwörter entwickelt, bei dem zuerst die Liste der am häufigsten verwendeten Passwörter ausprobiert wird. Diese Liste enthält nur 2910 Einträge, und es dauert nur etwa 4 Minuten, um sie alle zu testen. Beispiele auf dieser Liste umfassen die weltweit beliebte Kombination 123456, wiederholte Ziffern, sowie die digitalen Passwörter, die bestimmte Kombinationen darstellen (z. B. 131313 oder 287287). Nach dieser Liste folgen die 6-stelligen PINs, die auf dem Geburtsdatum des Benutzers basieren. Nachdem das Programm all diese Kombinationen ausprobiert hat, was ungefähr 1,5 Stunden dauert, startet das Tool den vollständigen Brute-Force-Angriff. (Hinweis: Die Wiederherstellung von Passcodes wird auf dem iPhone 4 mit einer Geschwindigkeit von 6,6 Passcodes pro Sekunde ausgeführt.)
Für ältere iOS-Geräte, einschließlich iPhone 4, 5 und 5c, ist eine vollständige physische Erfassung verfügbar. Für alle unterstützten Modelle kann das Toolkit das bitgenaue Image der Benutzerpartition extrahieren und den Schlüsselbund entschlüsseln. Wenn auf dem Gerät iOS 4 bis 7 ausgeführt wird, kann das Imaging auch ohne Wiederherstellung des Passcodes durchgeführt werden, während bei Geräten mit iOS 8 bis 10 zuerst der Passcode wiederhergestellt werden muss. Für alle unterstützten Modelle kann das Toolkit die Benutzerpartition und den Schlüsselbund extrahieren und entschlüsseln.
Hinweise: Nur Mac Edition; iPhone 4S wird nicht unterstützt. Für iOS 4 bis 7 ist für die Geräte-Imaging keine Passcode-Wiederherstellung erforderlich. Für iOS 8 und 9 muss der Passcode vor dem Imaging wiederhergestellt werden (andernfalls ist eine begrenzte BFU-Erfassung verfügbar).
Logischer Zugriff
iOS Forensic Toolkit unterstützt den logischen Zugriff, der im Vergleich zum physischen eine einfachere und sichere Zugriffsmethode darstellt. Die logische Erfassung erstellt eine standardmäßige iTunes-ähnliche Sicherung der auf dem Gerät gespeicherten Informationen, ruft Medien und freigegebene Dateien ab und extrahiert System-Crash-Logs Während durch die logische Methode weniger Informationen als durch die physische gewonnen werden, wird Experten empfohlen, ein logisches Backup des Geräts zu erstellen, bevor sie weitere invasive Erfassungstechniken anwenden.
Wir empfehlen immer, die logische Erfassung in Kombination mit physischer Erfassung zu verwenden, um alle möglichen Arten von Beweisen sicher zu erhalten.
Media und gemeinsame Dateien
Extrahieren Sie schnell Mediendateien wie Camera Roll, Bücher, Sprachaufnahmen und iTunes-Mediathek. Im Gegensatz zum Erstellen einer lokalen Sicherung, bei der es sich möglicherweise um eine langwierige Angelegenheit handeln kann, funktioniert die Medienextraktion auf allen unterstützten Geräten zügig. Das Auslesen von Daten aus gesperrten Geräten ist durch die Anwendung der Lockdown-Datei möglich.
iOS Forensic Toolkit bietet auch die Möglichkeit, auf gespeicherte Dateien vieler Apps zuzugreifen und kritische Daten auch ohne Jailbreak zu extrahieren. Extrahieren Sie Dokumente von Adobe Reader und Microsoft Office, der MiniKeePass-Passwortdatenbank und vielem mehr. Die Extraktion erfordert ein nicht gesperrtes Gerät oder einen nicht abgelaufenen Sperrdatensatz.
Führen Sie eine physische und logische Erfassung von iPhone-, iPad- und iPod Touch-Geräten durch. Das Image Device File System, extrahiert Geräte-Inhalte (Passwörter, Schlüssel und geschützte Daten) und entschlüsselt das Dateisystem-Image.