中数安盟提供电子取证,数据恢复,数据备份,手机取证,raid数据恢复,最全面的电子取证与数据恢复解决方案.电话 025-83608636
南京手机数据恢复最新成功案例南京数据恢复涉密数据恢复-电子取证
南京数据库修复南京硬盘恢复中数安盟-数据恢复专家数据恢复电子取证一体机
导读

Checkm8和Checkra1n

[复制链接]

微信扫一扫 分享朋友圈

admin 发表于 2020-6-3 13:45:51 | 显示全部楼层 |阅读模式 打印 上一主题 下一主题
Checkm8Checkra1n
iOS装置完整档案系统提取(Full Filesystem)
iOS提取是一个难以克服的难题。 该平台的封闭性质仅允许有限的取证功能。 时不时地会有突破,以帮助数字取证界的好人。 这种突破最近发生了-“ Checkm8”使数字取证界能够在各种iPhone上执行iOS完整文件系统提取。 这将使法证审查员能够合法访问iOS设备,以提取比以往更多的数字证据。 Checkm8和Checkra1n既强大又复杂
iOS数据保护 - 通过设计来控制和限制对用户数据的访问
· 强加密将用户数据可用性绑定到密码
· 在操作系统级别以及硬件设计中都实施了严格的安全机制
· iOS设备上运行的每一段代码都必须经过数字签名,并由Apple自己批准才能在iOS设备上运行
· 应用程序进程是按“需要访问”的原则隔离的
· 传统上,iTunes备份“足够”
· 设备所有者在任何使用情况下都无法访问许多数据源
漏洞与越
· 漏洞为软体上的bugs,可被进一步利用
· 一个漏洞可以是多个弱点的结合,可提供预期的攻击
· 好的漏洞可绕过或避免系统预设的存取限制
· 越狱工具则是透过漏洞,突破iOS保护机制,在装置上以任意权限执行第三方程式
· 基本上,越狱的目的如下
· 将"系统"分区权限由仅可读取,变更为"读写"
· 透过Cydia或其他installers,安装第三方App或插件
· 知名的越狱工具: Unc0ver, Chimera
· 仅限特定的iOS版本
· 不同的越狱工具可采用同一个漏洞
· unc0ver与chimera皆使用Sock Puppet漏洞
鉴识界有时会采用越狱工具来提取完整​​的档案系统
若有符合科学鉴识方式越狱工具?                 
Checkm8
@axi0mX在2019 9月27日发布了checkm8
为什么checkm8是经典
· 支援iPhone 4S至iPhone X
· 其他的iDevices如iPads, Apple TV与A5-A11的晶片组装置
不可被修补
· 上次仅在2010发生过,"limera1n”
checkm8本身不是一个越狱工具
Checkra1n
越狱的最终武器?
· 以checkm8为基础的越狱工具
· iOS安全研究领域的共同努力结果
· iPhone 5s - iPhone X, iOS 12.3以上
· 不同iOS版本可能需要小调整
· 测试版仅有Mac版本
· Windows与Linux稍后释出
注意:
· 由Cellebrite UFED 7.27支持
· 需要Mac OS(macOS)
与数位鉴识
· 越狱的目的是取得修改系统的权限
· 争议:越狱是否符合科学鉴识方式?
· checkm8如何改变数位鉴识界?
完整文件系iTunes
· iTunes备份足够好吗?
· 完整文件系统(FFS)有什么独特之处?
· Cellebrite与大多数产品有什么不同?
· 如何执行FFS?
方法3不存在(目前)。
iTunes不够好。 当整个文件系统可用时,为什么要满足部分数据提取的要求?
没有完整的文件系统,您将无法访问知识C,交互C,电池状态,其他位置信息以及受文件系统保护的任何内容。
此外,UFED将提取其他提取方法通常缺少的钥匙链。
Keychain
重要的证据
· UFED可直接提取并解密
· 透过PA分析
· 密码
· Tokens
· 其他的加密资讯
UFED支持提取和解密。
这对您的调查有很大的潜在影响。请考虑一下“可以解锁其他设备的词典”,解锁不同媒体上的加密容器所需的密码,访问列表的应用程序所需的密码等等。
您不仅可以在文件转储到完整文件系统期间找到提取的密钥链,还可以对其进行解密,然后UFED Physical Analyzer(PA)可以用于解析此信息,并且您将可以看到加密密钥中的实际含义 被存储在该文件中
新版本UFED
UFED 7.28将会内建客制版本的checkm8. 这是全球唯一方案.
UFED 7.28 不需要Mac OS (macOS)和 Checkra1n.
.
· 支援iPhone 7至iPhone X
· 支援iOS 12.3以上
· 符合科学鉴识方式
o 不须越狱
o 仅有读取权限
· 未来支援更多的装置
file:///C:\Users\PC-BAN\AppData\Local\Temp\ksohtml1952\wps1.jpg
注意:
· 必须处于DFU模式。
· 必须使用USB-Lightning传输线,避免使用TypeC Lightning传输线
· 请按照UFED说明进行操作。
file:///C:\Users\PC-BAN\AppData\Local\Temp\ksohtml1952\wps2.png
· UFED成功的屏幕截图和显示提取文件的目录。
file:///C:\Users\PC-BAN\AppData\Local\Temp\ksohtml1952\wps3.jpg


您需要登录后才可以回帖 登录 | 注册

本版积分规则


30关注

16粉丝

710帖子

发布主题
推荐阅读更多+
广告位

关注我们:中数安盟

官方微信

APP下载

全国服务热线:

400-618-4118

地址:南京市珠江路435号华海大厦6楼606

电话:025-83608636 邮编:210006 Email:jointnj@126.com

Powered by Discuz! X3.4 Licensed© 2001-2013 Comsenz Inc.  威海迪恩网络科技有限公司 版权所有   苏ICP备06045618号

中数安盟-南京西数科技数据恢复中心  苏ICP备09074668号-2

QQ- 小黑屋-手机版-Archiver-收货地址-广告服务- 南京西数科技有限公司

中国数据恢复协会协会理事单位 | 高职数据恢复实习实训基地 | 群晖NAS存储产品战略合作伙伴单位