Checkm8和Checkra1n

Checkm8和Checkra1n

iOS装置完整档案系统提取(Full Filesystem)

iOS提取是一个难以克服的难题。 该平台的封闭性质仅允许有限的取证功能。 时不时地会有突破，以帮助数字取证界的好人。 这种突破最近发生了-“ Checkm8”使数字取证界能够在各种iPhone上执行iOS完整文件系统提取。 这将使法证审查员能够合法访问iOS设备，以提取比以往更多的数字证据。 Checkm8和Checkra1n既强大又复杂

挑战

iOS数据保护 - 通过设计来控制和限制对用户数据的访问

· 强加密将用户数据可用性绑定到密码

· 在操作系统级别以及硬件设计中都实施了严格的安全机制

· iOS设备上运行的每一段代码都必须经过数字签名，并由Apple自己批准才能在iOS设备上运行

· 应用程序进程是按“需要访问”的原则隔离的

· 传统上，iTunes备份“足够”

· 设备所有者在任何使用情况下都无法访问许多数据源

漏洞与越狱

· 漏洞为软体上的bugs，可被进一步利用

· 一个漏洞可以是多个弱点的结合，可提供预期的攻击

· 好的漏洞可绕过或避免系统预设的存取限制

· 越狱工具则是透过漏洞，突破iOS保护机制，在装置上以任意权限执行第三方程式

· 基本上，越狱的目的如下

· 将"系统"分区权限由仅可读取，变更为"读写"

· 透过Cydia或其他installers，安装第三方App或插件

· 知名的越狱工具: Unc0ver, Chimera

· 仅限特定的iOS版本

· 不同的越狱工具可采用同一个漏洞

· unc0ver与chimera皆使用Sock Puppet漏洞

鉴识界有时会采用越狱工具来提取完整​​的档案系统

若有符合科学鉴识方式越狱工具?                 

Checkm8

@axi0mX在2019 9月27日发布了checkm8

为什么checkm8是经典

· 支援iPhone 4S至iPhone X

· 其他的iDevices如iPads, Apple TV与A5-A11的晶片组装置

不可被修补

· 上次仅在2010发生过，"limera1n”

checkm8本身不是一个越狱工具

Checkra1n

越狱的最终武器?

· 以checkm8为基础的越狱工具

· iOS安全研究领域的共同努力结果

· iPhone 5s - iPhone X, iOS 12.3以上

· 不同iOS版本可能需要小调整

· 测试版仅有Mac版本

· Windows与Linux稍后释出

注意：

· 由Cellebrite UFED 7.27支持

· 需要Mac OS（macOS）

越狱与数位鉴识

· 越狱的目的是取得修改系统的权限

· 争议：越狱是否符合科学鉴识方式?

· checkm8如何改变数位鉴识界?

完整文件系统与iTunes备份

· iTunes备份足够好吗？

· 完整文件系统（FFS）有什么独特之处？

· Cellebrite与大多数产品有什么不同？

· 如何执行FFS？

方法3不存在（目前）。

iTunes不够好。 当整个文件系统可用时，为什么要满足部分数据提取的要求？

没有完整的文件系统，您将无法访问知识C，交互C，电池状态，其他位置信息以及受文件系统保护的任何内容。

此外，UFED将提取其他提取方法通常缺少的钥匙链。

Keychain

重要的证据

· UFED可直接提取并解密

· 透过PA分析

· 密码

· Tokens

· 其他的加密资讯

UFED支持提取和解密。

这对您的调查有很大的潜在影响。请考虑一下“可以解锁其他设备的词典”，解锁不同媒体上的加密容器所需的密码，访问列表的应用程序所需的密码等等。

您不仅可以在文件转储到完整文件系统期间找到提取的密钥链，还可以对其进行解密，然后UFED Physical Analyzer（PA）可以用于解析此信息，并且您将可以看到加密密钥中的实际含义 被存储在该文件中

新版本UFED

UFED 7.28将会内建客制版本的checkm8. 这是全球唯一方案.

UFED 7.28 不需要Mac OS (macOS）和 Checkra1n.

.

· 支援iPhone 7至iPhone X

· 支援iOS 12.3以上

· 符合科学鉴识方式

o 不须越狱

o 仅有读取权限

· 未来支援更多的装置

file:///C:\Users\PC-BAN\AppData\Local\Temp\ksohtml1952\wps1.jpg

注意：

· 必须处于DFU模式。

· 必须使用USB-Lightning传输线，避免使用TypeC Lightning传输线

· 请按照UFED说明进行操作。

file:///C:\Users\PC-BAN\AppData\Local\Temp\ksohtml1952\wps2.png

· UFED成功的屏幕截图和显示提取文件的目录。

file:///C:\Users\PC-BAN\AppData\Local\Temp\ksohtml1952\wps3.jpg