• Курсы Академии Кодебай, стартующие в мае - июне, от команды The Codeby

    1. Цифровая криминалистика и реагирование на инциденты
    2. ОС Linux (DFIR) Старт: 16 мая
    3. Анализ фишинговых атак Старт: 16 мая Устройства для тестирования на проникновение Старт: 16 мая

    Скидки до 10%

    Полный список ближайших курсов ...

Soft Elcomsoft iOS Forensic Toolkit Агент-экстрактор - извлечение данных без джейлбрейка

Задача востребована - получение данных (документы, переписки - дело обычное - нужно ВСЁ) с iPhone OS version: 11.3.1
К нам в руки попала такая модель Model A1533 Версия iOS 11.3.1 к ней не применим checkra1n

Model A1533 Версия iOS 11.3.1.jpg


Нам нужно:
  1. Читаем статью " "
  2. Читаем статью как руководство пользователя " "
  3. В данном случаем нам нужен Elcomsoft iOS Forensic Toolkit
Агент-экстрактор совместим со следующими комбинациями устройств и версий iOS:
  • iPhone 6s до iPhone X, iPad 5 и 6, iPad Pro 1 и 2 поколений: iOS/iPadOS 11.0 — 13.3
  • iPhone Xr, Xs, Xs Max, iPad Mini 5, iPad Air 3, iPad Pro 3, iPod Touch 7: iOS/iPadOS 12.0 — 13.3
  • iPhone 11, 11 Pro, 11 Pro Max: iOS 13.0 — 13.3
Следующие модели поддерживаются, если работают под управлением iOS 11-12.2 и iOS 13.7:
  • iPhone 5s, 6, 6 Plus
  • iPad Mini 2 и 3
  • iPad Air 1

82f5558f-2138-40d5-a7b5-6ccad4c61852.jpg


Запуск программы

Elcomsoft iOS Forensic Toolkit.jpg


Выбираем в меню "Acquisition agent (limited compatibility)"
команду "1" - INSTALL - Install acquisition agent on device
у нас запрашивается Apple ID

Apple ID.jpg


мы указываем его (о получении регистрации и использовании писалось в - iOS 13.5 jailbreak получение данных Elcomsoft iOS Forensic Toolkit)
так же спросит и Apple ID password и Team ID, вводим свои данные

Apple ID pass.jpg

Device with udid 3ххххххххххххххххххххххххххххххххххх6 has been detected.
Device Name: iPhone (╨Ф╨╝╨╕╤В╤А╨╕╨╣)
Device Model: iPhone6,1
OS Version: iPhone OS 11.3.1
Serial Number: ХХХХХХХХХХХХХХХХХХ
Build Version: 15E302
Device will be enrolled in the Apple Developer Program.
Install: CreatingStagingDirectory (5%)
Install: ExtractingPackage (15%)
Install: InspectingPackage (20%)
Install: TakingInstallLock (20%)
Install: PreflightingApplication (30%)
Install: InstallingEmbeddedProfile (30%)
Install: VerifyingApplication (40%)
Install: CreatingContainer (50%)
Install: InstallingApplication (60%)
Install: PostflightingApplication (70%)
Install: SandboxingApplication (80%)
Install: GeneratingApplicationMap (90%)
Process has been completed.
Please launch the Acquisition agent on the iOS device now and keep it running in the foreground.
Press 'Enter' to continue
на нашем устройстве появился агент

Agent.jpg


далее запускаем на устройстве Агент

Agent screen.jpg


после в Elcomsoft iOS Forensic Toolkit в разделе "Acquisition agent (limited compatibility)"
команду "2" - KEYCHAIN - Acquire device keychain (извлекаем связку ключей)

KEYCHAIN.jpg


вот они физически

KEYCHAIN_files.jpg


мы получили связку ключей, теперь мы
в Elcomsoft iOS Forensic Toolkit в разделе "Acquisition agent (limited compatibility)"
команду "3" - FILE SYSTEM - Acquire device file system (as TAR archive), делаем нашу физику
На устройстве это выглядит мельканием путей каталогов с их размерами, фото ниже

process.jpg


вот такой результат нам выдаст "iOS Toolkit"

iOS Toolkit Files.jpg


вот они физически

iOS Toolkit Files 2 .jpg


полученные данные мы начинаем обрабатывать, но это уже совсем другая история Разбор образа устройства iOS 13.5, Elcomsoft Phone Viewer и Oxygen Forensic Detective
 

Вложения

  • Elcomsoft_iOS_Forensic_toolkit_Extended.jpg
    Elcomsoft_iOS_Forensic_toolkit_Extended.jpg
    80,3 КБ · Просмотры: 651
Последнее редактирование:

v1gman

Green Team
31.07.2020
495
523
BIT
23
Добротная статья! Было занимательно читать. Автору респект :)
 
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!