Elcomsoft iOS Forensic Toolkit 5.30 расширяет возможности физического извлечения данных из iPhone без джейлбрейка

В обновлении Elcomsoft iOS Forensic Toolkit 5.30 добавлена возможность извлечения образа файловой системы и расшифровки Связки ключей из устройств iPhone и iPad, работающих под управлением всех версий iOS 11 и 12, кроме iOS 12.3, 12.3.1 и 12.4.1. Новый метод извлечения работает на всех моделях устройств и не требует установки джейлбрейка.

В Elcomsoft iOS Forensic Toolkit 5.30 представлен новый метод низкоуровневого доступа к данным устройств iPhone и iPad всех поколений, работающих под управлением iOS 11 и 12 (за исключением iOS 12.3, 12.3.1 и 12.4.1). Новый метод позволяет экспертам быстро, эффективно и максимально безопасно извлечь полный образ файловой системы и расшифровать Связку ключей. Новый метод извлечения работает на всех моделях устройств и не требует установки джейлбрейка.

Новый метод извлечения данных поддерживает все устройства Apple, работающие под управлением iOS 11.0-12.4 (кроме версий iOS 12.3, 12.3.1 и 12.4.1). В список входят все модели iPhone от iPhone 5s вплоть до iPhone Xr, Xs и Xs Max, а также iPad, собранные с использованием микросхем соответствующих поколений.

Извлечение посредством агента

Новый метод извлечения данных использует программу-агента, которая устанавливается на iPhone или iPad. Для работы агента нет необходимости искать и устанавливать сторонний джейлбрейк. При этом обязательно наличие учётной записи Apple ID, зарегистрированной в программе Apple для разработчиков. Установленный на устройство агент позволяет напрямую считать файловую систему устройства и расшифровать Связку ключей, в которой содержатся сохранённые пароли пользователя.

В сравнении с традиционным способом извлечения файловой системы через джейлбрейк использование агента собственной разработки «Элкомсофт» позволяет сделать процесс анализа значительно более удобным и совершенно безопасным. Агент не модифицирует системный раздел устройства и пользовательские данные, не перемонтирует файловую систему и не оставляет явных следов работы; худшее, что может произойти с устройством – перезагрузка в штатном режиме. При извлечении данных автоматически подсчитываются и сохраняются хэш-суммы. Кроме того, использование агента позволило нашим разработчикам добиться максимально возможной для каждой модели скорости передачи данных – до 1 ГБ в минуту. По завершении работы агент удаляется с устройства одной командой.

Данные извлекаются в виде архива в формате .TAR. Для анализа извлечённой информации рекомендуем воспользоваться решением для проведения судебно-технической экспертизы мобильных устройств «Мобильный Криминалист» разработки ООО «Оксиджен Софтвер».

Список изменений:

  • Добавлен новый метод извлечения данных, не требующий установки джейлбрейка (iOS 11.0-12.4, за исключением iOS 12.3, 12.3.1 и 12.4.1).
  • Извлечение посредством агента работает быстрее, надёжнее и безопаснее по сравнению с извлечением с использованием джейлбрейка.

Дополнительно