В обновлении Elcomsoft iOS Forensic Toolkit 6.30 расширен список версий iOS, для которых доступно извлечение образа файловой системы без джейлбрейка. Извлечение посредством агента-экстрактора теперь доступно для всех 64-битных устройств iPhone и iPad под управлением всего спектра версий iOS 9. Кроме того, мы добавили возможность извлекать из файловой системы только данные пользователя, пропуская системные файлы и библиотеки.

В Elcomsoft iOS Forensic Toolkit 6.30 мы расширили поддержку старых версий iOS. В новой версии инструментария мы добавили поддержку расшифровки Связки ключей и извлечения файловой системы для 64-разрядных устройств Apple, работающих под управлением всех версий iOS 9. Поддержка старых версий iOS важна для работников криминалистических лабораторий, в которые поступают устройства, многие из которых не обновлялись годами или ни разу с момента приобретения.

Важно отметить, что поддерживаются все версии iOS 9 на всех устройствах, для которых они были доступны. В число поддерживаемых устройств вошли смартфоны iPhone 5s, iPhone 6 и 6 Plus, iPhone 6s и 6s Plus. Также поддерживается первая версия iPhone SE, выпущенная с iOS 9.3. Наконец, новый метод извлечения работает на планшетах iPad Air, iPad Air 2, iPad Mini 2 - 4, а также на первом поколении iPad Pro.

Для установки агента необходимо использовать Apple ID, зарегистрированный в Программе разработчика Apple.

В текущем обновлении представлен и новый режим извлечения данных. В новом режиме из файловой системы извлекаются только данные пользователя, но не файлы операционной системы. Используя новый режим, эксперты смогут сэкономить время и место на диске, извлекая только содержимое раздела данных и не трогая файлы из системного раздела. В системном разделе iOS содержатся исполняемые файлы и библиотеки, необходимые для работы операционной системы. За исключением случаев, когда пользователь устанавливает на устройство джейлбрейк, содержимое системного раздела совпадает на устройствах одной и той же модели, работающих под управлением одной и той же версии iOS, и не представляет ценности для расследования.

Основные преимущества нового метода – ускорение извлечения данных и упрощение их анализа. Для iPhone малой ёмкости новая опция может ускорить извлечение в два-три раза по сравнению с полным извлечением файловой системы устройства. На устройствах с большей ёмкостью экономия времени не настолько существенна, однако ориентироваться в таком наборе данных проще, чем в полном образе.

Новое в этой версии:

• Добавлена полная поддержка (извлечение файловой системы и Связки ключей) для iOS 9 (агент-экстрактор без джейлбрейка)
• Добавлена возможность извлечения только пользовательской области файловой системы (системные файлы не извлекаются)