Как вытащить данные с iphone через dfu

Как вытащить данные с iphone через dfu

Как сделать бекап, хотя бы выгрузить фотки, зависшего iphone7 a1778

Apple iPhone 7
Прошивка: Неизвестна.

Джейлбрейк: Нет
Описание проблемы:
После обновления прошивки (версия не известна) iPhone7 a1778 перестал подключаться к wi-fi, пароль не подохдит, 10 раз проверил, верный пароль.
После перезагрузки завис на экране с яблоком.
Хард резет с подключением к зарядке не помогает. iTunes устройство не видит.
При подключение к iTunes в Recovery mode возможности сделать бекап нет, только обновление или восстановление.
Не хочется рисковать потерей данных при обновлении. Так же для обновления просит обновить текущую 10.9 до 10.11.4, пока возможности нет.

Есть компьютеры на Windows7 и 8. OSX 10.10 на внешнем диске. OSX в крайнем случае будем обновлять, максимум до 10.12, дальше наш MacBook не поддерживает. Флешка с Linux возможна.
Читал про iTools3, но не понимаю, работает ли она с зависшем iPhone без джейлбрейка.

Как сделать бекап, хотя бы выгрузить фотки, зависшего таким вот образом iphone7 a1778 ?

Программа FonePaw iPhone Data Recovery 7.1.0 на Win 8 с установленным последним iTunes 12.3 не видит телефон когда на экране яблоко. В Recovery mode видит, сообщают о нештатном состоянии для работы и кто предлагает пофиксить проблемы, а кто вернуть штатное состояние, а по возврату снова не видит.
FonePaw iPhone Data Recovery 7.1.0 для OSX айфон вилит, но сообщает, что iTunes надо обновить до 12.3, а на текущий версии оси 10.9 это не возможно.

Wondershare dr.fone 10.0.12.65 на Win8 и Wondershare dr.fone 8.6.1 на OSX 10.9 предлагают нажать кнопку Trusted на экране смарта, которой естественно нет, там все тоже яблоко. В Recovery mode смартфон тоже не принимают.

Стало ясно, что надо копать в сторону более серьезного софта используемого для мобильной криминалистики.

Единственное, что смог найти из доступных простому смертному это Elcomsoft iOS Forensic Toolkit.
И с ним у меня есть ровно один вариант. Поставить джейлбрейк, с вероятность около 70% успешной установки, и снять архив с файловой системой с неполным доступом. В которой может будет часть фотографий. Доступа к файлам в папке DCIM с возможностью их копирования нет. Только список содержимого папки. Какие-то фотографии в аналитическим софтом из снятого архива с неполной файловой системой можно извлечь, что-то там найдут.
То есть, я не могу найти решения, которое позволит снять полноценный бекап в itunes стиле, что б дальше с ним работать. Только такой вариант Before First Unlock.

Тут же возникает вопрос 1:
1. Когда iPhone вот в таком зависшем состояние — ввод с экрана не доступен, можно ли как-то выйти на стадию разблокировки, передать Passcode в устройство, что бы устройство прошло стадию Before First Unlock?
Таким образом расширить возможности к снятию полноценных архивов.

Еще вариант, мне не доступный, это зарегистрировать apple id в программе разработчиков софта за 99$, и тогда софт дает еще возможности по извлечению данных.

Другого современного софта, доступного бесплатно, который работает с iPhone 7 c текущей установленной ios, я найти не смог.
Я накопал несколько имен софта или производителей, что ведет к вопросу 2:
2. Где можно скачать подходящие мне решения Blackbox, Cellebrite, Oxygen, Graykey, Мобильный крминалист, Mobilyze, Susteen, Axiom, MOBILedit Forensic ?

Lance_B,
Еще раз возвращаемся к истокам.
1. Перечисленный софт на 99.9% это фейки, которые могу тоже самое что и тунец
2. т.к. весь софт использует именно драйвер тунца, то никакие сертификаты разработчика и прочие танцы с бубном здесь не помогут
3. начинайте проверку с главного. в таком состоянии аппарат появляется в списке usb устройств (в виде стандартного или сервисного устройства). Если нет — то никакие остальные телодвижения ни к чему не приведут. Драйвера udb на телефоне не стартовали.

и чуть теории. Никакой папки dcim на ios нет вообще. она эмулируется системой в момент когда произошло подключение девайса к компу и проверки безопасности пройдены (компу можно доверять)

t.r.o.n.,
Спасибо за информацию!

1,2. Ок. Видимо, самое большое,что доступно, Elcomsoft, и есть тот 0,1% отличный от тунца. Я этим софтом, по крайней мере, в такого пациента в состоянии комы могу загнать джейлбрек и хоть что-то вытащить, что позволено в режиме Before First Unlock.
Эх, если бы там была папка с фотографиями, и зная passcode можно был бы ее разблокировать/дешифровать.. мечты.
Ведь я знаю passcode от смарта. И если есть какой софт, в который можно загнать этот passcode и дешифровать зашифровонную часть скачанной системы.
3. Тут глухо. Смарт не виден. Максимум можно добиться предложения обновить систему или восстановить.

Источник

Как ввести iPhone в режим DFU. 3 способа для старых и новых айфонов

Смартфоны Apple работают очень стабильно и редко нуждаются в восстановлении прошивки. Однако, иногда возникает необходимость вернуть iPhone к заводскому виду, чтобы избавиться от глюков после неудачного обновления ПО или системного сбоя.

Для этого пригодится DFU режим.

? Спасибо re:Store за полезную информацию. ?

DFU режим (Device Firmware Update) — это низкоуровневый режим обновления прошивки iPhone. При его включении смартфон будет распознан компьютером для восстановления iOS. Сам iPhone при этом не будет загружать графическую оболочку системы и реагировать на нажатия кнопок.

Очень часто режим DFU путают с режимом восстановления (Recovery mode). Внешне их легко отличить, в режиме DFU на экране iPhone нет никаких обозначений, а в режиме восстановления увидите индикатор подключения к компьютеру.

Recovery Mode это режим восстановления iOS программным методом. Данные при этом остаются на месте, а системные файлы восстанавливаются из оригинальной прошивки или бекапа.

Режим DFU это восстановление iOS в режиме загрузчика, при котором все файлы стираются и перезаписываются данными из оригинальной прошивки.

Условно Recovery Mode можно сравнить с загрузкой бекапа Time Machine, а режим DFU с полной переустановкой операционной системы.

Как войти в DFU-режим на iPhone с физической кнопкой Home

Все старые модели смартфонов Apple до iPhone 6s и iPhone SE включительно имеют физическую кнопку Домой. На них вход в DFU осуществляется следующим образом:

1. Подключаем смартфон к компьютеру при помощи кабеля.

2. Выключаем iPhone.

3. Когда экран потухнет, зажимаем кнопку питания на 3 секунды.

4. Зажимаем кнопку Домой, при этом продолжаем держать нажатой кнопку питания.

5. Через 10 секунд отпускаем кнопку питания и продолжаем держать кнопку Домой еще 5 секунд.

Черный экран смартфона будет свидетельствовать о входе в DFU. Яблоко на экране сигнализирует о начале загрузки iOS, придется повторить процедуру заново.

Для выхода из режима DFU нужно зажать кнопки Домой и Power на 10 секунд.

Как войти в DFU-режим на iPhone с сенсорной кнопкой Home

В смартфонах с влагозащитой купертиновцы отказались от физической кнопки на передней грани смартфона. Ее заменила сенсорная клавиша. Процедура перехода в DFU режим стала немного отличаться:

1. Подключаем смартфон к компьютеру при помощи кабеля.

2. Выключаем iPhone.

3. Когда экран потухнет, зажимаем кнопку питания на 3 секунды.

4. Зажимаем кнопку уменьшения громкости, при этом продолжаем держать нажатой кнопку питания.

5. Через 10 секунд отпускаем кнопку питания и продолжаем держать кнопку уменьшения громкости еще 5 секунд.

Черный экран смартфона будет свидетельствовать о входе в DFU. Яблоко на экране сигнализирует о начале загрузки iOS, придется повторить процедуру заново.

Для выхода из режима DFU нужно зажать кнопки уменьшения громкости и Power на 10 секунд.

Как видите, процесс входа и выхода в данный режим отличается лишь использованием клавиши громкости вместо кнопки Домой.

Вот видеоинструкция для моделей с физической и виртуальной кнопкой Домой.

Как войти в DFU-режим на iPhone с Face ID

С выпуском iPhone X в Apple вовсе отказались от кнопки на лицевой стороне смартфона, а переход в режим DFU немного усложнили:

1. Подключаем смартфон к компьютеру при помощи кабеля.

2. Поочередно нажимаем кнопку увеличения громкости, затем кнопку уменьшения громкости и зажимаем кнопку питания.

3. Как только экран смартфона погас, зажимаем кнопку уменьшения громкости и продолжаем держать кнопку питания 5 секунд.

4. Отпускаем кнопку питания и продолжаем держать кнопку уменьшения громкости еще 15 секунд.

Если увидите логотип Apple, значит началась загрузки iOS и вы что-то сделали неверно. Придется попробовать заново.

Для выхода из режима нужно поочередно нажать кнопку увеличения громкости, кнопку уменьшения громкости и зажать кнопку питания. Отпустить кнопку можно после появления на экране яблока.

Для наглядности приводим видеоинструкцию для iPhone X/XS/XR/11/11 Pro.

Источник

Сохранение и извлечение данных из iPhone: последовательность шагов

Важность информации, создаваемой и хранящейся в современных смартфонах, невозможно переоценить. Всё чаще смартфон (а точнее — данные, которые он содержит) является той самой уликой, которая способна сдвинуть расследование с мёртвой точки. Кошельки с криптовалютами, пароли от сайтов, с которых распространяют нелегальные вещества, учётные записи от социальных сетей, через которые преступники осуществляют поиск клиентов и данные для входа в приватные чаты и программы мгновенного обмена сообщениями, через которые преступные группировки координируют свою деятельность — лишь малая часть того, что может оказаться (и, как правило, оказывается) в смартфоне подозреваемого.

В то же время производители смартфонов предпринимают серьёзные меры по защите информации. Сквозное шифрование и активное противодействие спецсредствам для разблокировки устройства и получения доступа к его содержимому, а также широко известные возможности по удалённому блокированию устройств и уничтожению информации заставляют специалистов тщательно соблюдать все правила техники безопасности. Узнать об этих правилах и о том, как сохранить информацию в изъятом устройстве и о шагах, которые нужно сделать для того, чтобы получить к ней доступ, вы сможете из этой статьи. Важное уточнение: речь в данной статье пойдёт в первую очередь о моделях iPhone компании Apple.

Первые шаги: как сохранить данные

Что нужно сделать, а чего ни в коем случае нельзя делать с iPhone после изъятия? Основных вещей две: iPhone нельзя выключать (это катастрофически затруднит доступ), и у iPhone нельзя оставлять беспроводное подключение к сети (иначе злоумышленник сможет дистанционно заблокировать устройство и уничтожить данные). Однако этим список не ограничивается. Вот что нужно сделать в первую очередь:

• Активируйте на iPhone режим «в самолёте». Как правило, это возможно даже тогда, когда экран устройства заблокирован. (В скобках оставим варианты, когда пользователь вручную отключает эту возможность).
• После этого обязательно проверьте положение переключателей Wi-Fi и Bluetooth; отключите эти сети вручную, если они включены. Дело в том, что даже в режиме «в самолёте» Wi-Fi и Bluetooth в ряде случаев не будут выключены автоматически.
• Подключите iPhone к портативному источнику питания.
• Если устройство работает под управлением iOS 11.4.1, то к порту Lightning можно подключить адаптер USB; в этом случае не будет заблокирована по тайм-ауту передача данных через этот порт. Эта практика утратила работоспособность во всех версиях iOS после 11.4.1, включая все версии iOS 12 и 13 (в них режим ограничений USB активируется мгновенно после блокировки экрана).
• Поместите iPhone, подключенный к источнику питания, в клетку Фарадея (мешок, пакет или сумка из материала, изолирующего радиоизлучение в используемых в современных сотовых сетях спектра).

В чём смысл этих действий? В том, чтобы избежать возможности полного разряда аккумулятора iPhone: в этом случае устройство просто отключится, и в дальнейшем эксперту придётся работать по протоколу BFU (Before First Unlock, «до первой разблокировки»), который существенно ограничивает спектр доступных возможностей по сравнению с протоколом AFU (After First Unlock, «после первой разблокировки»). Даже если на iPhone установлен неизвестный код блокировки, взломать его в состоянии AFU будет значительно проще и займёт меньше времени в сравнении с режимом BFU. В то же время для взлома кода блокировки потребуется работоспособный порт с возможностью передачи данных. iOS 11.4.1 и более поздние версии блокируют передачу данных через определённое время после выключения экрана. Для предотвращения такой блокировки используется подключение к адаптеру USB (впрочем, работает этот вариант с единственной версией iOS — 11.4.1). Наконец, манипуляции с «полётным» режимом, переключателями беспроводных сетей и клеткой Фарадея предпринимаются для того, чтобы исключить возможность для злоумышленника по удалённому уничтожению данных.

Если вам показалось, что всё достаточно просто — вынуждены разочаровать. Для того, чтобы данные оказались доступны для извлечения, потребуется соблюдать ряд предосторожностей.

• Если iPhone оборудован датчиком отпечатков пальцев Touch ID, не прикасайтесь к сканеру отпечатков. Если вы это сделаете, будет потрачена одна из пяти попыток разблокировать смартфон отпечатком, а не кодом блокировки. Для того, чтобы проверить, включен ли телефон, используйте кнопку питания, расположенную на верхней или боковой грани устройства.
• Если iPhone относится к поколению X или более позднему и оборудован системой распознавания лица, обращайтесь с устройством с особой осторожностью. Если вы активируете экран устройства, а ваше лицо будет захвачено сканером Face ID, то вы потеряете одну из пяти попыток разблокировать телефон по лицу вместо использования кода блокировки. Именно это случилось на сцене прямо во время презентации iPhone X: Apple Says Face ID Didn’t Fail Onstage During iPhone X Keynote
• Ознакомьтесь с разнообразными правилами, по которым работают биометрические методы разблокировки: Fingerprint unlock .
• Ознакомьтесь с работой системы S.O.S. и её последствиями. Стоит подозреваемому трижды нажать кнопку питания или зажать кнопки питания и громкости, как телефон перейдёт в особое меню. Независимо от выбора в этом меню, iOS заблокирует работу биометрических датчиков (Touch ID/Face ID) и мгновенно отключит USB-порт смартфона (а точнее, отключит режим передачи данных через порт Lightning). Для разблокировки смартфона потребуется ввести код блокировки экрана без каких-либо альтернатив.
• Если вы забудете включить режим «в самолёте» и (обязательно!) проверить и отключить, если требуется, сети Wi-Fi и Bluetooth, о вашем случае могут написать в новостях:
• BBC News: Cambridgeshire, Derbyshire, Nottingham, and Durham police: «мы не знаем, как им удалось стереть данные.“ (9 октября 2014)
• Darvel Walker, Morristown дистанционно удалил данные; против него выдвинуто обвинение в противодействии следствию (7 апреля 2015)

По возможности постарайтесь изъять не только сам iPhone, но и сопутствующие устройства, включая часы Apple Watch, приставки Apple TV, компьютеры и сетевые накопители, а также флеш-накопители. О часах и Apple TV — в статье Apple Watch и Apple TV .

Причина: на компьютерах и внешних накопителях может содержаться важная информация, которая поможет получить доступ к содержимому смартфона или к облаку iCloud; содержимому учётных записей (Google Account, Microsoft Account, Facebook и так далее).

Первое, что нужно проделать с устройством — провести его идентификацию. Точную модель устройства можно узнать по маркировке на задней стороне устройства (дальнейшая идентификация через Apple ). Использование комплекса Elcomsoft iOS Forensic Toolkit (команда «I») поможет узнать не только модель устройства, но и такие данные, как точную версию и номер сборки iOS, серийный номер устройства, IMEI и многое другое. Более того, часть информации можно узнать даже в том случае, когда устройство находится в защитном режиме USB Restricted Mode, воспользовавшись доступом через режим Recovery или DFU (требуется перезагрузка устройства; устройство переходит в состояние BFU, Before First Unlock, со всеми вытекающими последствиями). Если доступна запись lockdown с компьютера пользователя, удастся узнать и список установленных в устройстве приложений.

Если экран устройства заблокирован неизвестным кодом блокировки, у вас будет ограниченное количество вариантов действий. Существует всего несколько решений, способных взломать код блокировки:

• GrayKey компании GrayShift (региональные ограничения, решение не доступно в РФ; поддерживает все версии iOS и аппаратного обеспечения)
• Cellebrite UFED Premium (региональные ограничения; поддержка только поколения iPhone 8/8 Plus/iPhone X; для новых моделей доступен сервис CAS)
• Cellebrite Advanced Services (CAS; сервис; требуется отправка iPhone в одну из региональных лабораторий; доступность ограничена)

Единственное общедоступное решение в данном случае — это попытка логического анализа устройства; доступ осуществляется посредством файла lockdown, извлечённого из компьютера пользователя. Дополнительная информация: Acquisition of a Locked iPhone with a Lockdown Record и USB restricted mode .

Логический анализ iPhone — самый распространённый, простой и универсальный способ извлечь необходимую информацию. Данные, доступные посредством логического анализа, не ограничиваются одной лишь резервной копией. В статье Demystifying Advanced Logical Acquisition мы подробно описали доступные типы данных. Вкратце, это медиа-файлы (фотографии, видео и музыка), файлы приложений (из тех, которые доступны в iTunes), журналы отладки и диагностики.

В случае с логическим анализом может быть несколько подводных камней.

• Установлен пароль на резервную копию, и он неизвестен. Несмотря на то, что в iOS 11 и более новых версиях пароль на резервную копию можно сбросить, такой сброс уничтожает и некоторые ценные данные (в частности, удаляется код блокировки, что приводит к удалению транзакций Apple Pay и некоторых других). Подробности — в статье The Most Unusual Things about iPhone Backups .
• Пароль на резервную копию не установлен . Казалось бы, никакой проблемы здесь нет; тем не менее, нужно понимать, что отсутствие пароля на резервной копии предоставит вам доступ к части информации — и полностью перекроет доступ к таким ценным типам данных, как содержимое связки ключей (пароли пользователя в Safari и приложениях). И если в iOS 11 и 12 можно установить временный пароль и создать свежую резервную копию, то в iOS 13 для изменения или установки пароля на резервную копию потребуется ввести и код блокировки устройства (на самом устройстве).

Значительный пласт информации из iPhone не попадает в резервные копии, даже в резервные копии с паролем. В резервные копии не попадают данные приложений, разработчики которых запретили резервное копирование. Не сохраняется переписка электронной почты. Как правило, не сохраняются чаты и переписка в социальных сетях и программах мгновенного обмена сообщениями. Не сохраняются, как правило, и пароли от кошельков криптовалют. Значительную часть данных можно получить, скопировав файловую систему устройства. Для доступа к файловой системе вам потребуются права суперпользователя, для чего на устройство потребуется установить джейлбрейк. Более подробно об этом можно прочесть в статье Step by Step Guide to iOS Jailbreaking and Physical Acquisition , а также в статье Forensic Implications of iOS Jailbreaking , в которой мы описали риски и последствия установки различных джейлбрейков. Обратите внимание: для установки джейлбрейка на iPhone, лишённый подключения к сети, необходимо использовать учётную запись Apple ID, зарегистрированную в программе Apple для разработчиков (регистрация платная).

Какая последовательность действий будет правильной?

• Полный логический анализ в состоянии «как есть». Если резервная копия защищена паролем — всё равно создайте её; при успешной установке джейлбрейка вы сможете узнать пароль на резервную копию и расшифровать её.
• Установка джейлбрейка, копирование файловой системы и расшифровка связки ключей keychain.
• В том и только в том случае, если попытка установить джейлбрейк не удалась, провести процедуру сброса пароля к резервной копии, установить временный пароль на резервную копию и проделать логический анализ устройства.

Что необходимо знать о джейлбрейках:

• Традиционные джейлбрейки осуществляют глубокое вмешательство в работу устройства, модифицируют системный раздел, делают невозможным получение обновлений OTA. Их корректное удаление под вопросом.
• Джейлбрейки класса rootless гораздо меньше влияют на работу системы. Они не модифицируют системный раздел и не влияют на возможность получения обновлений ОС. Их удаление оставляет минимальные следы в файловой системе устройства.
• Установка джейлбрейка требует запуска на iPhone пакета IPA. Для его работы пакет IPA необходимо подписать цифровой подписью.
• Подпись проверяется устройством. Чтобы избежать необходимости выхода устройства в интернет, используйте для подписи Apple ID, зарегистрированный в программе Apple для разработчиков. Обратите внимание на ограничение по числу устройств в программе для разработчиков Apple.

Важно : в процессе анализа связки ключей вы сможете узнать как пароль от учётной записи пользователя Apple ID, так и пароль от резервной копии устройства. Узнав пароль, вы сможете расшифровать резервную копию.

В настоящий момент джейлбрейки доступны для всех версий iOS 11. Для iOS 12 джейлбрейки доступны до версии 12.2 включительно (есть ограничения по аппаратным платформам). Rootless джейлбрейк доступен только для iOS 12.0 — 12.1.2; он не работает на устройствах поколения A12 (модели iPhone Xs/Xs Max/Xr).

Извлечение данних из облака набирает популярность, и тому есть причины.

• Нет необходимости в самом устройстве. iPhone может быть заблокирован, сломан или физически недоступен.
• Из облака можно извлечь даже больше данных, чем из самого устройства благодаря синхронизации с другими устройствами пользователя.
• В облаке в течение ограниченного времени могут храниться и удалённые данные.
• Облачный анализ достаточно быстрый и простой.

Наша компания была первой на рынке, сумевшей извлечь резервную копию iPhone из облака. На сегодняшний день мы продолжаем извлекать из iCloud больше информации, чем любой другой производитель. Более того, мы способны извлечь и расшифровать даже те данные, которые компания Apple не выдаёт правоохранительным органам по запросу. Мы извлекаем:

• Резервные копии из iCloud backups (включая учётные записи с 2FA)
• Содержимое iCloud Drive (включая данные сторонних приложений, которые недоступны никаким другим способом)
• iCloud Photos
• Ключ восстановления доступа к FileVault2
• Связка ключей iCloud keychain
• Данные Здоровья (включая данные, зашифрованные кодом блокировки)
• Облачные сообщения (iMessage и SMS)

Мы работаем над доступом данных Экранное время и Home .

Основной проблемой облачного анализа остаётся доступность данных для аутентификации. Для доступа потребуются логин и пароль от учётной записи; второй файтор аутентификации (например, разблокированное устройство, привязанное к той же учётной записи, или SIM-карта, на которую можно получить код в виде SMS). Кроме того, для доступа к отдельным категориям потребуется код блокировки экрана (iOS) или системный пароль (macOS) от одного из устройств, привязанных к данной учётной записи.

В этой статье мы рассказали об основных особенностях сохранения и извлечения информации из iPhone. Разумеется, в единственной статье невозможно рассказать про все особенности iOS, а тем более — осветить частные случаи. Максимально подробную информацию мы предоставляем участников наших тренингов и программ обучения .

Извлечение данных — только начало пути. За извлечением следует анализ и сопоставление информации, оформление доказательной базы, создание отчётов. Для всего этого доступны как наши ( Elcomsoft Phone Viewer ), так и сторонние инструменты.

Источник