В обновлении iOS Forensic Toolkit 8.80 реализована поддержка извлечения журналов Apple Unified Logs и значительно ускорена работа с медиафайлами (фото и видео) и журналами диагностики.

Извлечение унифицированных журналов Apple Unified Logs

Важным дополнением в новой версии инструментария стала возможность извлечения унифицированных журналов Apple Unified Logs. Эти системные журналы содержат обширную информацию о работе устройств Apple; сохраняются события, процессы, активность приложений и действия пользователя. В отличие от журналов sysdiagnose, которые подробно охватывают только последние 24 часа, унифицированные журналы предоставляют более полную долгосрочную картину происходящего, что особенно ценно при восстановлении хронологии событий и анализе поведения пользователя.

Подробнее о журналах sysdiagnose и их отличии от унифицированных журналов Apple Unified Logs можно прочесть в нашем блоге: Журналы событий: как извлечь и чем анализировать логи Apple

Унифицированные журналы извлекаются в рамках расширенного логического извлечения.

Ускорение расширенного логического извлечения

В обновлении мы не обошли вниманием и «старые» журналы sysdiagnose, извлечение которых нам удалось кратно ускорить. Ряд низкоуровневых оптимизаций позволил в разы увеличить скорость извлечения как диагностических логов, так и медиафайлов (фотографий и видеороликов). Эти нововведения существенно сокращают время, необходимое для извлечения данных из устройств, для которых недоступны низкоуровневые методы.

Другие нововведения

Помимо прочего, мы улучшили работу с 32-разрядными устройствами, добавив поддержку нескольких пограничных комбинаций iOS и аппаратных платформ, и внесли изменения в механизм Perfect Acquisition для 32-разрядных устройств. И для совместимых с checkm8 устройств мы добавили поддержку последних версий iOS 15 (15.8.5) и iOS 16 (16.7.12).

Новое в iOS Forensic Toolkit 8.80:

• Логическое извлечение: поддержка извлечения Apple Unified Logs
• Логическое извлечение: существенное ускорение извлечения медиафайлов и системных журналов
• Новинка: представлена бесплатная утилита для Windows для монтирования образов дисков, извлечённых в формате HFS
• Агент-экстрактор: улучшения и исправления ошибок в процедуре установки агента-экстрактора
• 32-разрядные устройства: улучшения совместимости с рядом комбинаций аппаратного и программного обеспечения
• 32-разрядные устройства: механизм Perfect Acquisition стал проще в использовании
• checkm8: добавлена поддержка iOS 15 (15.8.5) и iOS 16 (16.7.12) для устройств, совмести-мых с checkm8