Checkm8和Checkra1n
Checkm8和Checkra1niOS装置完整档案系统提取(Full Filesystem) iOS提取是一个难以克服的难题。 该平台的封闭性质仅允许有限的取证功能。 时不时地会有突破,以帮助数字取证界的好人。 这种突破最近发生了-“ Checkm8”使数字取证界能够在各种iPhone上执行iOS完整文件系统提取。 这将使法证审查员能够合法访问iOS设备,以提取比以往更多的数字证据。 Checkm8和Checkra1n既强大又复杂 挑战iOS数据保护 - 通过设计来控制和限制对用户数据的访问· 强加密将用户数据可用性绑定到密码· 在操作系统级别以及硬件设计中都实施了严格的安全机制· iOS设备上运行的每一段代码都必须经过数字签名,并由Apple自己批准才能在iOS设备上运行· 应用程序进程是按“需要访问”的原则隔离的· 传统上,iTunes备份“足够”· 设备所有者在任何使用情况下都无法访问许多数据源 漏洞与越狱· 漏洞为软体上的bugs,可被进一步利用· 一个漏洞可以是多个弱点的结合,可提供预期的攻击· 好的漏洞可绕过或避免系统预设的存取限制· 越狱工具则是透过漏洞,突破iOS保护机制,在装置上以任意权限执行第三方程式· 基本上,越狱的目的如下· 将"系统"分区权限由仅可读取,变更为"读写"· 透过Cydia或其他installers,安装第三方App或插件 · 知名的越狱工具: Unc0ver, Chimera· 仅限特定的iOS版本· 不同的越狱工具可采用同一个漏洞· unc0ver与chimera皆使用Sock Puppet漏洞 鉴识界有时会采用越狱工具来提取完整的档案系统 若有符合科学鉴识方式越狱工具? Checkm8@axi0mX在2019 9月27日发布了checkm8 为什么checkm8是经典· 支援iPhone 4S至iPhone X· 其他的iDevices如iPads, Apple TV与A5-A11的晶片组装置 不可被修补· 上次仅在2010发生过,"limera1n” checkm8本身不是一个越狱工具 Checkra1n越狱的最终武器?· 以checkm8为基础的越狱工具· iOS安全研究领域的共同努力结果· iPhone 5s - iPhone X, iOS 12.3以上· 不同iOS版本可能需要小调整· 测试版仅有Mac版本· Windows与Linux稍后释出 注意:· 由Cellebrite UFED 7.27支持· 需要Mac OS(macOS)越狱与数位鉴识· 越狱的目的是取得修改系统的权限· 争议:越狱是否符合科学鉴识方式?· checkm8如何改变数位鉴识界? 完整文件系统与iTunes备份· iTunes备份足够好吗?· 完整文件系统(FFS)有什么独特之处?· Cellebrite与大多数产品有什么不同?· 如何执行FFS? 方法3不存在(目前)。iTunes不够好。 当整个文件系统可用时,为什么要满足部分数据提取的要求?没有完整的文件系统,您将无法访问知识C,交互C,电池状态,其他位置信息以及受文件系统保护的任何内容。此外,UFED将提取其他提取方法通常缺少的钥匙链。 Keychain重要的证据· UFED可直接提取并解密· 透过PA分析· 密码· Tokens· 其他的加密资讯 UFED支持提取和解密。 这对您的调查有很大的潜在影响。请考虑一下“可以解锁其他设备的词典”,解锁不同媒体上的加密容器所需的密码,访问列表的应用程序所需的密码等等。 您不仅可以在文件转储到完整文件系统期间找到提取的密钥链,还可以对其进行解密,然后UFED Physical Analyzer(PA)可以用于解析此信息,并且您将可以看到加密密钥中的实际含义 被存储在该文件中 新版本UFEDUFED 7.28将会内建客制版本的checkm8. 这是全球唯一方案.UFED 7.28 不需要Mac OS (macOS)和 Checkra1n.. · 支援iPhone 7至iPhone X· 支援iOS 12.3以上· 符合科学鉴识方式o 不须越狱o 仅有读取权限· 未来支援更多的装置file:///C:\Users\PC-BAN\AppData\Local\Temp\ksohtml1952\wps1.jpg 注意:· 必须处于DFU模式。· 必须使用USB-Lightning传输线,避免使用TypeC Lightning传输线· 请按照UFED说明进行操作。file:///C:\Users\PC-BAN\AppData\Local\Temp\ksohtml1952\wps2.png · UFED成功的屏幕截图和显示提取文件的目录。file:///C:\Users\PC-BAN\AppData\Local\Temp\ksohtml1952\wps3.jpg
页:
[1]