Корпоративные решения


Elcomsoft iOS Forensic Toolkit

Криминалистический анализ устройств iPhone/iPad/iPod на основе Apple iOS

Elcomsoft iOS Forensic Toolkit – специализированный продукт для криминалистического исследования устройств на основе Apple iOS. iOS Forensic Toolkit позволяет экспертам правоохранительных органов производить сбор информации и проводить судебные и компьютерно-технические экспертизы устройств iPhone, iPad и iPod производства компании Apple, работающих под управлением iOS версий 3-9.

С помощью iOS Forensic Toolkit возможно получить полный доступ к информации, хранящейся в поддерживаемых устройствах. Продукт обеспечивает целостность и неизменность исследуемых данных. С помощью iOS Forensic Toolkit специалисты могут получить доступ к расшифрованному образу файловой системы устройства, расшифровать коды, пароли и прочую защищённую информацию. Доступ к основному массиву данных осуществляется мгновенно, в реальном времени.

Возможности продукта

  • Универсальное решение «всё в одном»
  • Доступ к полному массиву информации
  • Обеспечивается аутентичность исследуемой информации
  • Поддерживаемые методы извлечения данных: физическое извлечение для 32- и 64-разрядных устройств[^3], логическое извлечение для всех типов устройств
  • Частичное извлечение данных из заблокированных устройств
  • Восстановление данных системного хранилища (keychain), паролей и зашифрованных данных
  • Быстрый сбор информации (модели с 32 Гб памяти обрабатываются за 20-40 мин)
  • Гарантия целостности и неизменности исследуемых данных (для поколений устройств до iPhone 4 и более старых)
  • Автоматическое ведение журнала всех следственных действий
  • Поддержка устройств на основе iOS с 3.x по 9.3.3
  • Не требуется знание пароля на включение
  • Мгновенное восстановление пароля на включение устройств с iOS до версий 3.x включительно
  • Восстановление 4-значных паролей на включение в iOS 4/8 за 20-40 минут
  • Снятие физических и логических образов устройства
  • Доступны версии для Mac и Windows
  • Ручной и автоматический режимы

Доступно больше информации, чем хранится в резервных копиях iPhone

iOS Forensic Toolkit открывает доступ ко всей информации, хранящейся в устройствах iPhone/iPad/iPod. С помощью снятия физического образа устройства обеспечивается доступ к гораздо более широкому спектру данных по сравнению с методом расшифровки резервных копий. Расшифровываются такие данные, как пароли к сайтам, SMS, электронная почта, логины и пароли к программам.

Среди криминалистически важных данных содержится такая информация, как географическое положение устройства в каждый момент времени, карты и маршруты, рассчитанные с помощью Google Maps, история посещений интернет ресурсов, а также практически вся информация, набранная на устройстве с помощью виртуальной клавиатуры.

Поддержка 64-разрядных устройств

В новых поколениях устройств Apple с 64-битной архитектурой (iPhone 5S, 6, 6S и более новые) традиционные методы извлечения данных оказались неработоспособны. Компанией «Элкомсофт» был разработан уникальный механизм, позволяющий извлечь существенное количество информации из таких устройств. В iOS Forensic Toolkit доступна возможность извлечения данных из устройств Apple, оснащённых 64-разрядными процессорами. Извлечение данных осуществляется через функцию «TAR FILES», и возвращает архив в формате TAR, содержащий полную копию файловой системы устройства. Для успешной работы функции требуется разблокировать устройство с помощью jailbreak. При извлечении данных из 64-разрядных устройств защищённое хранилище keychain извлекается, но не может быть расшифровано в силу ограничений архитектуры.

Логическое извлечение данных

У метода физического извлечения данных есть ряд ограничений: доступ к современным устройствам возможен только после установки jailbreak, а данные из keychain не расшифровываются на 64-разрядных устройствах (iPhone 5s и более новые). Эти ограничения возможно обойти, использовав логическое извлечение данных.

Данные, полученные в результате процесса логического извлечения, можно проанализировать в Elcomsoft Phone Viewer или сторонних приложениях, поддерживающих формат данных iTunes. Если полученная резервная копия зашифрована неизвестным паролем, нужно использовать Elcomsoft Phone Breaker для подбора пароля и расшифровки данных.

Если пароль на резервную копию не установлен, iOS Forensic Toolkit автоматически установит временный пароль «123», который сбрасывается по завершении процедуры. Использование временного пароля позволит успешно расшифровать keychain, который в противном случае был бы зашифрован аппаратным ключом.

Если устройство заблокировано неизвестным паролем, продукт может использовать для разблокировки lockdown-файлы, создаваемые на компьютере пользователя для упрощения авторизации. Файлы Lockdown действуют до первой перезагрузки устройства.

Поддержка заблокированных устройств

Если экран устройства заблокирован неизвестным паролем, но на устройстве установлен jailbreak, с помощью iOS Forensic Toolkit можно извлечь ограниченное количество данных: информацию о входящих звонках и SMS, WAL-файлы, системные журналы и журналы приложений, а также уведомления и входящие сообщения, полученные некоторыми программами для мгновенного обмена сообщениями в то время, когда экран устройства был заблокирован.

При использовании логического извлечения разблокирование устройства возможно с помощью lockdown-файлов, извлечённых из компьютера пользователя.

Гарантия целостности и неизменности данных

Доступ к данным и работа с устройствами обеспечивается без изменения их содержимого. Гарантируются аутентичность и неизменность полученной информации. (Только для 32-разрядных устройств).

Расшифровка данных «на лету»

В отличие от ранее используемых методов расшифровки, Elcomsoft iOS Forensic Toolkit работает с устройством напрямую, что позволяет расшифровывать данные «на лету». При наличии исследуемого устройства становится возможным извлечь из устройства оригинальные ключи, с помощью которых были зашифрованы данные. С помощью этих ключей расшифровка осуществляется в реальном времени – практически мгновенно.

Среднее время снятия образа с 32-гигабайтной версии устройства составляет 20-40 минут. Устройства с большим количеством памяти потребуют пропорционально больше времени.

Одним из немногих исключений является пароль, используемый при включении устройства. Восстановление этого пароля по-прежнему осуществляется полным перебором или методом словарной атаки.

Восстановление данных системного хранилища (keychain)

Elcomsoft iOS Forensic Toolkit предоставляет криминалистам полный доступ к информации, хранящейся в защищённом системном хранилище (keychain). В системном хранилище записываются такие данные, как логины и пароли к сайтам, почте, программам и прочим ресурсам. Расшифровка данных из keychain доступна только для 32-разрядных устройств.

Использование логического извлечения позволяет расшифровывать keychain в том числе и для 64-разрядных устройств.

Работа без пароля на включение устройства

Elcomsoft iOS Forensic Toolkit работает как с использованием пароля на включение устройства, так и без оного. В последнем случае возможны некоторые ограничения в случае работы с системами iOS 4/5/6.

iOS 1.x-3.x: пароль на включение не требуется и не используется. Расшифровываются все данные без исключения. Собственно пароль на включение восстанавливается мгновенно.

iOS 4.0-7.x: часть информации защищена ключами, зависящими от пароля на включение. В частности, следующие данные не могут быть расшифрованы без наличия оригинального пароля: сообщения электронной почты; большинство записей в связке ключей (сохранённые пароли); некоторые данные сторонних приложений.

iOS 8.0-9.x: большинство информации защищено. Без пароля может быть извлечено только очень ограниченное количество данных.

  • Сообщения электронной почты;
  • Информация из системного хранилища (keychain), включая логины и пароли к сайтам;
  • Данные некоторых сторонних программ и приложений в случае использования ими сильного шифрования.

Восстановление пароля на включение в iOS 4+

С помощью Elcomsoft iOS Forensic Toolkit можно восстановить точный пароль на включение устройства. В случае с iOS 4+ доступен метод полного перебора, с помощью которого 4-значные цифровые пароли восстанавливаются за 20-40 минут. Более сложные пароли также могут быть восстановлены, однако потребуется больше времени.

Поддержка депонированных ключей

С помощью депонированных ключей (escrow file) возможна расшифровка защищённых данных и без знания пароля на включение устройства. Файлы депонированных ключей создаются на любом компьютере, к которому устройство подключалось с целью синхронизации.

Поддержка lockdown-файлов

При извлечении данных из заблокированного устройства, доступ к информации методом логического извлечения можно получить с помощью актуального lockdown-файла, извлечённого из компьютера пользователя. Lockdown-файлы действительны до первой перезагрузки устройства.

Системные требования

iOS Forensic Toolkit для Mac OS X работает на компьютерах Mac с архитектурой процессоров Intel. Поддерживается система OS X 10.6 (Snow Leopard), 10.7 (Lion), 10.8 (Mountain Lion), 10.9 (Mavericks) и 10.10 (Yosemite). Требуется установка iTunes 10.6 или более поздней версии.

OS X 10.11 (El Capitan): версия iOS Forensic Toolkit для Mac OS X имеет ограничение на поддержку старых устройств (iPhone 4 и ниже), требующих переключения в режим DFU. Более новые устройства поддерживаются штатным образом.

Версия для Microsoft Windows работает на компьютерах под управлением Windows XP, Vista и Windows 7. Требуется установка iTunes 10.6 или более поздней версии.

Работа программы и в других версиях Windows и Mac OS X возможна, но не гарантируется.

Совместимые устройства и платформы

iOS Forensic Toolkit поддерживает следующие устройства, работающие под управлением системы iOS:

  • iPhone 3G, 3GS, 4 (GSM и CDMA модели), iPod Touch (до 4го поколения включительно), iPad
  • iPhone 4S, 5, 5C, iPod Touch 5го поколения: требуется jailbreak
  • iPad 2, iPad с Retina дисплеем, iPad Mini: требуется jailbreak
  • iPhone 5S, 6, 6S, 6/6S Plus: требуется jailbreak, используется 64-битный процесс извлечения
  • iPad Air, Air 2, Pro, iPad mini 2-4: требуется jailbreak, используется 64-битный процесс извлечения

Поддерживаемые операционные системы:

  • iPhone OS 1-3 (включая iOS 3.1.3)
  • iOS 4.x - включая iOS 4.3.5 (включая iOS 4.2.10 для iPhone 4 CDMA)
  • iOS 5.x
  • iOS 6.x
  • iOS 7.x (требуется Pangu 1.2+ jailbreak)
  • iOS 8.x (требуется TaiG jailbreak)
  • iOS 9.x (требуется Pangu jailbreak)
 


Купить лицензионную версию EIFT

Current version: 2.1