Инструментарий Elcomsoft iOS Forensic Toolkit получил крупное обновление. В версии 4.0 добавлена расшифровка записей из связки ключей keychain в процессе физического извлечения данных. В новой версии инструментария появилась возможность извлекать журналы crash logs без установки jailbreak. Пользовательский интерфейс продукта был полностью переработан.

Инструментарий Elcomsoft iOS Forensic Toolkit для извлечения данных из устройств под управлением iOS получил крупное обновление. Основное нововведение четвёртой версии – возможность расшифровки записей из связки ключей keychain в процессе физического извлечения данных. Стали доступны данные журналов crash logs, позволяющие установить факт использования приложений, которые на момент анализа не установлены в системе. Пользовательский интерфейс продукта подвергся глубокой переработке с целью упростить работу с современными устройствами Apple, оборудованными 64-разрядными процессорами (iPhone 5s/6/6s/7/8/Plus, iPhone SE, iPhone X).

Благодаря новым возможностям Elcomsoft iOS Forensic Toolkit 4.0 становится универсальным решением для извлечения данных из 64-разрядных смартфонов и планшетов под управлением iOS вне зависимости версии операционной системы. Поддерживаются все версии iOS и все доступные методы извлечения данных от логического извлечения до снятия физического образа раздела данных (для устройств с jailbreak).

Расшифровка связки ключей keychain

В защищённом хранилище keychain хранятся такие данные, как пароли пользователя, маркеры аутентификации от учётных записей, пароли от Wi-Fi, финансовая информация, документы и другие важные данные. С каждой новой версией iOS в keychain переносится всё больше информации. Данные из keychain хранятся на зашифрованном дисковом разделе, и дополнительно зашифрованы с помощью аппаратного ключа, который надёжно защищён посредством аппаратного сопроцессора Secure Enclave.

В iOS Forensic Toolkit 4.0 появился механизм для расшифровки связки ключей keychain в процессе физического извлечения данных, позволяющий обойти защиту Secure Enclave. Расшифровка происходит моментально; требуется jailbreak.

Извлечение журналов crash logs

Журналы crash logs – важная часть информации, доступной в устройствах под управлением iOS. Файлы журналов не попадают в резервные копии, и могут быть извлечены только непосредственно из самого устройства. С точки зрения эксперта, особый интерес представляют списки установленных и удалённых приложений. Существует вероятность обнаружить журналы crash logs для приложений, которые не установлены в системе, что даёт возможность утверждать, что такое приложение было установлено и использовалось ранее (по крайней мере до момента последнего события из crash logs).

На основе журналов crash logs возможно построение ленты событий, основанных на дате и времени, извлечённых из журналов.

Elcomsoft iOS Forensic Toolkit 4.0 извлекает журналы crash logs из устройств, для которых установлены доверенные отношения с компьютером либо доступна запись lockdown. Для извлечения журналов необходимо, чтобы устройство было разблокировано кодом блокировки хотя бы единожды после включения или перезагрузки.

Переработанный пользовательский интерфейс

Пользовательский интерфейс Elcomsoft iOS Forensic Toolkit 4.0 был полностью переработан. Несмотря на то, что управление приложением осталось консольным, новый пользовательский интерфейс заметно упрощает и ускоряет процесс извлечения данных из устройств с установленным jailbreak и без него. Для успешного извлечения данных пользователю достаточно последовательно выполнять команды из главного меню программы.