Checkm8和Checkra1n iOS装置完整档案系统提取(Full Filesystem) iOS提取是一个难以克服的难题。 该平台的封闭性质仅允许有限的取证功能。 时不时地会有突破,以帮助数字取证界的好人。 这种突破最近发生了-“ Checkm8”使数字取证界能够在各种iPhone上执行iOS完整文件系统提取。 这将使法证审查员能够合法访问iOS设备,以提取比以往更多的数字证据。 Checkm8和Checkra1n既强大又复杂 挑战 iOS数据保护 - 通过设计来控制和限制对用户数据的访问 · 强加密将用户数据可用性绑定到密码 · 在操作系统级别以及硬件设计中都实施了严格的安全机制 · iOS设备上运行的每一段代码都必须经过数字签名,并由Apple自己批准才能在iOS设备上运行 · 应用程序进程是按“需要访问”的原则隔离的 · 传统上,iTunes备份“足够” · 设备所有者在任何使用情况下都无法访问许多数据源 漏洞与越狱 · 漏洞为软体上的bugs,可被进一步利用 · 一个漏洞可以是多个弱点的结合,可提供预期的攻击 · 好的漏洞可绕过或避免系统预设的存取限制 · 越狱工具则是透过漏洞,突破iOS保护机制,在装置上以任意权限执行第三方程式 · 基本上,越狱的目的如下 · 将"系统"分区权限由仅可读取,变更为"读写" · 透过Cydia或其他installers,安装第三方App或插件 · 知名的越狱工具: Unc0ver, Chimera · 仅限特定的iOS版本 · 不同的越狱工具可采用同一个漏洞 · unc0ver与chimera皆使用Sock Puppet漏洞 鉴识界有时会采用越狱工具来提取完整的档案系统 若有符合科学鉴识方式越狱工具? Checkm8 @axi0mX在2019 9月27日发布了checkm8 为什么checkm8是经典 · 支援iPhone 4S至iPhone X · 其他的iDevices如iPads, Apple TV与A5-A11的晶片组装置 不可被修补 · 上次仅在2010发生过,"limera1n” checkm8本身不是一个越狱工具 Checkra1n 越狱的最终武器? · 以checkm8为基础的越狱工具 · iOS安全研究领域的共同努力结果 · iPhone 5s - iPhone X, iOS 12.3以上 · 不同iOS版本可能需要小调整 · 测试版仅有Mac版本 · Windows与Linux稍后释出 注意: · 由Cellebrite UFED 7.27支持 · 需要Mac OS(macOS) 越狱与数位鉴识 · 越狱的目的是取得修改系统的权限 · 争议:越狱是否符合科学鉴识方式? · checkm8如何改变数位鉴识界? 完整文件系统与iTunes备份 · iTunes备份足够好吗? · 完整文件系统(FFS)有什么独特之处? · Cellebrite与大多数产品有什么不同? · 如何执行FFS? 方法3不存在(目前)。 iTunes不够好。 当整个文件系统可用时,为什么要满足部分数据提取的要求? 没有完整的文件系统,您将无法访问知识C,交互C,电池状态,其他位置信息以及受文件系统保护的任何内容。 此外,UFED将提取其他提取方法通常缺少的钥匙链。 Keychain 重要的证据 · UFED可直接提取并解密 · 透过PA分析 · 密码 · Tokens · 其他的加密资讯 UFED支持提取和解密。 这对您的调查有很大的潜在影响。请考虑一下“可以解锁其他设备的词典”,解锁不同媒体上的加密容器所需的密码,访问列表的应用程序所需的密码等等。 您不仅可以在文件转储到完整文件系统期间找到提取的密钥链,还可以对其进行解密,然后UFED Physical Analyzer(PA)可以用于解析此信息,并且您将可以看到加密密钥中的实际含义 被存储在该文件中 新版本UFED UFED 7.28将会内建客制版本的checkm8. 这是全球唯一方案. UFED 7.28 不需要Mac OS (macOS)和 Checkra1n. . · 支援iPhone 7至iPhone X · 支援iOS 12.3以上 · 符合科学鉴识方式 o 不须越狱 o 仅有读取权限 · 未来支援更多的装置 file:///C:\Users\PC-BAN\AppData\Local\Temp\ksohtml1952\wps1.jpg 注意: · 必须处于DFU模式。 · 必须使用USB-Lightning传输线,避免使用TypeC Lightning传输线 · 请按照UFED说明进行操作。 file:///C:\Users\PC-BAN\AppData\Local\Temp\ksohtml1952\wps2.png · UFED成功的屏幕截图和显示提取文件的目录。 file:///C:\Users\PC-BAN\AppData\Local\Temp\ksohtml1952\wps3.jpg
|