Что такое извлечение iphone

Что такое извлечение iphone

Дорогие друзья, совсем недавно мы рассказывали про эксплойт checkm8 и Jailbreak checkra1n. А уже сегодня мы хотим познакомить вас с нашей собственной утилитой, которая после предварительной установки Jailbreak checkra1n на iOS-устройство извлекает из него полную файловую структуру и секретное хранилище Keychain, а с версии 1.7/12.1, обладает функцией получения полного доступа к файловой системе и данным Keychain на:

• iPhone 5s, iPhone 6, iPhone 6s Plus (iOS 12.2 – 12.5.3);
• iPhone 6s, iPhone SE (1st gen) (iOS 12.1.4 — 14.8);
• iPhone 7, iPhone 7 Plus, iPhone 8, iPhone 8 Plus и iPhone X (iOS 13.0 – 14.8);
• iPad (5th gen), iPad 4 Mini (iOS 12.4 – 14.8);
• iPad Pro 1st/2nd gen и iPad (6th gen) (iOS 13.0 – 14.8).

Извлечение сведений из перечисленных выше устройств происходит с помощью автоматического применения уязвимости checkm8 (при работе с ПО «Мобильный Криминалист» на персональных компьютерах с операционной системой Windows 10).

Более того, данная утилита (начиная с версии 1.6/12.0 и выше) обходит USB Restricted Mode (принудительный ввод пароля при подключении устройства к ПК, если устройство до этого было заблокировано в течение часа). Обход этого защитного механизма позволяет извлечь часть сведений из телефона или планшета, даже если устройство заблокировано, в режиме BFU. В таком случае, есть возможность получить следующие сведения: информацию о сетевых подключениях (имена сетей, точки доступа, местоположение, уровень сигнала, переданные и полученные пакеты), артефакты ОС, данные о звонках и СМС/iMessage (временные базы данных), данные некоторых приложений и голосовой почты.

Если же устройство находится в разблокированном состоянии, то извлечение происходит без использования режима BFU.

Какие данные можно извлечь?

С помощью инструмента «Расширенное извлечение iOS» программного продукта «Мобильный Криминалист» из Apple-устройств можно извлечь:

• данные только выбранных приложений, установленных на устройстве;
• данные секретного хранилища Keychain;
• полную файловую систему устройства в виде .tar-архива.

Важно заметить, что доступ к данным зависит от того, в каком состоянии находится устройство. Если оно разблокировано, то для извлечения доступна вся база его данных. Если же экран устройства заблокирован, то возможно только частичное извлечение информации.

Если на устройстве не установлен Jailbreak, чтобы извлечь из него данные, выполните несколько следующих действий:

1. Запустите модуль «Мастер Извлечения Данных» из рабочей панели программы ПО «Мобильный Криминалист Эксперт», либо кликните по кнопке «Подключить устройство» в программе «Мобильный Криминалист Детектив».
2. Во всплывающем окне подтвердите запрос на права администратора.
3. Выберите в разделе «iOS извлечения» метод «Расширенное извлечение iOS» в программе «Мобильный Криминалист Эксперт», либо тот же метод в разделе «Другие извлечения» в ПО «Мобильный Криминалист Детектив».
4. Выберите «Checkm8 извлечение» (стоит заметить, что поддерживаются следующие устройства: iPhone 5s, iPhone 6, iPhone 6s Plus (iOS 12.2 – 12.5.3), iPhone 6s, iPhone SE (1st gen) (iOS 12.1.4 — 14.8), iPhone 7, iPhone 7 Plus, iPhone 8, iPhone 8 Plus и iPhone X (iOS 13.0 – 14.8), iPad (5th gen), iPad 4 Mini (iOS 12.4 – 14.8), iPad Pro 1st/2nd gen и iPad (6th gen) (iOS 13.0 – 14.8).
5. Подключите устройство по USB-кабелю и переведите его в DFU-режим.

Как перевести устройство в DFU-режим

iPhone 5s/6/6s/6s+/SE(1st gen)/iPad 5th gen/6th gen

• Подключите выключенное устройство к компьютеру.
• Одновременно нажмите и зафиксируйте на 8 секунд в таком состоянии кнопки «Домой» и «Питание».
• Отпустите клавишу «Питание», а «Домой» удерживайте еще 8 секунд. Если на экране возникает лого компании Apple, это означает, что кнопка была удержана дольше требуемого времени. Попробуйте повторить все действия еще раз.
• При успешном переводе в DFU-режим экран устройства остается отключенным. Если экран включен, то, скорее всего, вы активировали режим восстановления, а не DFU. В таком случае повторите все действия снова.

iPhone 7/7+/iPad Pro (1st gen)/iPad Pro (2nd gen)

• Подключите включенное устройство к компьютеру.
• Одновременно зажмите кнопку «Питание» и кнопку уменьшения громкости и удерживайте их 8 секунд.
• Отпустите клавишу «Питание», а кнопку понижения громкости удерживайте еще 5 секунд. Если на экране возникает лого компании Apple, это означает, что кнопка была удержана дольше требуемого времени. Попробуйте повторить все действия еще раз.
• При успешном переводе в DFU-режим экран устройства остается отключенным. Если экран включен, то, скорее всего, вы активировали режим восстановления, а не DFU. В таком случае повторите все действия снова.

iPhone 8/8+/X

• Подключите включенное устройство к компьютеру;
• Нажмите и отпустите кнопку повышения громкости, затем нажмите и отпустите кнопку понижения громкости, после нажмите клавишу «Питание» и отпустите, когда экран устройства станет черным;
• Нажмите и удерживайте кнопки «Питание» и понижения громкости. Через пять секунд отпустите клавишу «Питание», продолжая удерживать кнопку понижения громкости;
• Если устройство успешно вошло в режим DFU, экран устройства останется черным.

Как выйти из режима DFU?

iPhone 5s/6/6s/6s+/SE(1st gen)/iPad 5th gen/6th gen

• Отсоедините устройство от ПК.
• Зажмите кнопки «Домой» и «Питание».
• Отпустите обе кнопки при появлении логотипа компании «Apple» на экране устройства.

iPhone 7/7+/iPad Pro (1st gen)/iPad Pro (2nd gen)

• Зажмите и удерживайте в течение 10 секунд кнопку понижения громкости и «Питание».
• Кратковременно нажмите кнопку «Питание», отпустив при этом кнопку понижения громкости. На дисплее должен появиться логотип «Apple», после чего устройство загрузится в нормальном режиме.

iPhone 8/8+/X

• Отключите устройство от компьютера.
• Нажмите и отпустите клавишу повышения громкости, затем нажмите и отпустите клавишу понижения громкости.
• Удерживайте кнопку «Питание». Когда на экране появится логотип «Apple», устройство загрузится в обычном режиме.

1. При успешном подключении, вы увидите окно, показанное на скриншоте № 7, которое говорит о том, что устройство подключено к ПК правильно, в требуемом режиме, а также готово к применению уязвимости и последующему извлечению данных.
2. Выберите папку для сохранения результатов извлечения и нажмите кнопку «Начать извлечение».
3. Выберите полное или выборочное извлечение данных.

BFU-извлечение при неизвестном пароле для iPhone 7 и iPhone 7 Plus на iOS 14.0 — 14.8.1

При неизвестном пароле на устройствах iPhone 7 и iPhone 7 Plus на iOS 14.0 — 14.8.1 доступно BFU-извлечение. Для этого выполните следующие действия:

Запустите модуль «Мастер Извлечения Данных».

Выберите метод «iOS с использованием checkm8».

Выберите «Checkm8 извлечение».

Подключите iOS-устройство по USB и переведите его в режим DFU.

После обнаружения устройства программным обеспечением, нажмите на «Применить SEP-уязвимость».

Дождитесь установки драйвера и применения уязвимости.

Отключите устройство от USB-кабеля, а затем снова подключите его.

Если нет возможности ввести пароль, пропустите разблокировку экрана, и произведите частичное извлечение данных (BFU).

Дождитесь окончания процесса извлечения данных.

Откройте извлеченные данные в «Мобильном Криминалисте» для последующего исследования.

Полное извлечение файловой системы

1. Если есть возможность, не забудьте разблокировать экран устройства для полного извлечения данных. Если экран будет заблокирован, то получится извлечь лишь часть информации, «Мобильный Криминалист» оповестит вас об этом. Если пароль на разблокировку экрана неизвестен и у вас нет возможности его получить, нажмите кнопку «Не разблокировать экран и извлечь Keychain частично».
2. На первом этапе извлекаются данные хранилища Keychain. Стоит заметить, что в самом начале работы при подключении устройства может потребоваться ввести пароль разблокировки экрана гаджета несколько раз.
3. На втором этапе происходит извлечение файловой системы устройства в виде .tar-архива.
4. После успешного извлечения импортируйте данные в ПО «Мобильный Криминалист» или посмотрите полученные файлы в папке сохранения извлечения на компьютере.
5. Для изучения и анализа данных выберите пункт «Открыть данные в «Мобильный Криминалист».

Для изучения доступны:

• данные секретного хранилища Keychain;
• полная файловая система устройства.

Выборочное извлечение. Популярные и стандартные приложения

Для удобства и возможности быстрого доступа к данным определенных приложений реализовано выборочное извлечение информации только из топ-30 популярных и списка стандартных приложений, установленных на устройстве.

Список приложений:

• WhatsApp Messenger
• Viber
• Telegram
• Instagram
• VK
• Facebook
• Skype
• TikTok
• Discord
• Signal
• Wickr Me
• Twitter
• Gmail
• YouTube
• Facebook Messenger
• Google Maps
• Yandex.Taxi
• Uber.Russia
• Sberbank Online
• Zoom Cloud Meetings
• Yandex
• OK
• Threema
• Mail.ru Email app
• Slack
• LinkedIn
• Google Drive
• Snapchat
• Booking
• Tinder

Кроме популярных приложений для выборочного извлечения данных доступны и базовые разделы устройств Apple:

• Device info
• Messages
• Phonebook
• Event log
• Voice Memos
• Mail
• Safari Browser
• Calendar
• Apple Notes
• Apple Wallet
• Apple Maps
• Apple Photos
• Wireless Connections
• Gallery

Для извлечения информации:

1. Выберите интересующие вас приложения и нажмите кнопку «Начать извлечение».
2. На первом этапе извлекаются данные хранилища Keychain (если в нем находятся ключи для расшифровки данных исследуемого приложения). Стоит заметить, что в самом начале работы при подключении устройства может потребоваться ввести пароль разблокировки экрана гаджета несколько раз.
3. На втором этапе происходит извлечение данных выбранного приложения из файловой системы устройства в виде .tar-архива.
4. После успешного извлечения импортируйте данные в ПО «Мобильный Криминалист» или посмотрите полученные файлы в папке на ПК.
5. Для изучения и анализа информации выберите пункт «Открыть данные в «Мобильный Криминалист».

Что может пойти не так?

Ситуация 1. Зависает «OxygenLoader».

Ситуация 2. После загрузки «OxygenLoader» или ядра телефона на устройстве через некоторое происходит резкий переход экрана из черного в белый, без появления логотипа компании «Apple».

Ситуация 3. На устройстве постоянно отображается черный экран.

Ситуация 4. Невозможно отключить пароль блокировки экрана/резервная копия защищена паролем.

Ситуация 5. При работе с устройствами модели iPhone 7 и 7 Plus, 8, 8 Plus или X не происходит переподключения устройства к компьютеру.

Что делать?

Решение ситуации 1. Сфотографируйте экран устройства и обратитесь в службу технической поддержки нашей компании, чтобы определить причину зависания. Для того, чтобы вывести устройство из этого состояния, выполните процедуру «Hard Reset».

Решение ситуации 2. Такое поведение устройства говорит о том, что оно перезагрузилось несколько раз и после этого запустится в обычном режиме, т.е Jailbreak на нем не будет установлен. Отключите устройство и попробуйте повторить все действия еще раз.

Решение ситуации 3. Выполните процедуру «Hard Reset» на устройстве.

Решение ситуации 4. Может быть вызвано тем, что на устройстве установлен MDM-профиль. Чтобы проверить это, зайдите в «Настройки», выберите пункт «Основные» и затем «Профиль». Если MDM-профиль установлен, нажмите на «MDM-профиль» и выберите «Удалить». В случае неудачи обратитесь в службу технической поддержки.

Решение ситуации 5. Такое поведение устройства может свидетельствовать о том, что оно базируется на iOS версий 14.х и на нем установлен пароль блокировки экрана.

Для того, чтобы извлечь данные из устройств, упомянутых в пункте выше, требуется отключить на них блокировку экрана (сбросить пароль). Однако мы крайне не рекомендуем делать это стандартным методом, так как для сброса потребуется подключить устройство к сети. Это действие может повлечь за собой удаленную блокировку и сброс данных на устройстве. Более того, iOS запросит пароль от Apple ID, который может быть неизвестен.

Классический сценарий отключения пароля:

• откройте меню настроек;
• прокрутите вниз и откройте пункт «Touch ID и код-пароль»;
• введите пароль блокировки устройства;
• выберите «Выключить код-пароль» и подтвердите свой выбор;
• введите пароль от Apple-ID.

Однако это не всегда возможно даже при наличии актуального пароля. Возможные решения:

1) Отвязать Apple Pay

Одной из возможных причин затруднения со сбросом пароля является привязка Apple Pay. Стоит заметить что отключение Apple Pay повлечет за собой удаление всех платежных карт и очистит историю транзакций. После повторите действия описанные в классическом сценарии отключения пароля.

2) Использовать команду «Сброс всех настроек»

Важно заметить, что сброс настроек не только удаляет пароль устройства, но и очищает пароль шифрования резервных копий iTunes, а также все сохранённые пароли к точкам доступа Wi-Fi. Кроме того, если установлен пароль Экранного времени, то потребуется ввести и его. После повторите действия описанные в классическом сценарии отключения пароля.

Если на устройстве предварительно установлен Jailbreak, чтобы извлечь из него данные, выполните следующие действия:

1. Запустите модуль «Мастер Извлечения Данных» из рабочей панели программы ПО «Мобильный Криминалист Эксперт», либо выберите «Подключить устройство» в программе «Мобильный Криминалист Детектив».
2. В разделе «iOS извлечения» выберите метод «Расширенное извлечение iOS» в «Мобильный Криминалист Эксперт», либо тот же метод в разделе «Другие извлечения» в «Мобильный Криминалист Детектив».
3. Выберите «Извлечение из iPhone с Jailbreak».
4. Проверьте, следуя инструкции, соблюдены ли следующие условия:

• На устройстве установлен Jailbreak. Если нет, то установите Jailbreak вручную;
• Для большинства устройств с iOS 12.3 до 13.5 рекомендуется использовать Jailbreak checkra1n, либо unc0ver 5.0. Unc0ver 5.0 справляется с версиями 13.3.1 – 13.5, в то время, как checkra1n официально поддерживает версии 12.1.4 — 14.4;
• Список устройств и версий iOS, поддерживаемых Jailbreak, представлен здесь;
• Установлена последняя версия iTunes;
• Экран устройства разблокирован (по возможности);
• Устройство подключено к ПК по USB-кабелю.

1. Если все условия соблюдены, и вы готовы приступить к работе, нажмите кнопку «USB подключение».
2. При возникновении проблем с подключением, программа переходит к окну, показанному на скриншоте №5.
3. Для продолжения работы введите правильный пароль и попробуйте снова.
4. При успешном подключении, вы увидите окно, показанное на скриншоте №7.
5. Выберите папку для сохранения результатов извлечения и нажмите кнопку «Начать извлечение».
6. Выберите данные для извлечения, аналогично схеме извлечения данных из iOS-устройств без предварительно установленного Jailbreak.

Какими могут быть причины неудачи?

• телефон не подключен к компьютеру;
• нарушено какое-либо из условий подготовки к подключению;
• введен неправильный SSH-порт устройства.

Что делать в такой ситуации?

• проверьте, подключен ли телефон к компьютеру;
• проверьте, соблюдены ли все условия, и попробуйте обновить iTunes;
• «Мобильный Криминалист» выполняет подключение по SSH-портам, заданным Jailbreak при его первой установке на устройство. Самыми частыми портами являются 22, 44, 2222. По умолчанию «Мобильный Криминалист» использует именно их. Но иногда Jailbreak назначает другой SSH-порт, в таком случае в строке SSH необходимо ввести требуемое значение;

Но для подключения устройства необходимо знать не только номер SSH-порта, но и пароль суперпользователя, предоставляющий доступ к программной учетной записи устройства — root.

Внимание! Данный пароль не соответствует обычному паролю владельца устройства на разблокировку экрана (цифровому или графическому). По умолчанию, его значение — «alpine». Однако, если на устройство уже устанавливали Jailbreak, его могли изменить.

В таком случае при работе с инструментом появится окно, показанное на скриншоте №6.

Источник