Связка ключей (keychain) содержит как учётные данные пользователей (логины и пароли) для сайтов и приложений, так и разнообразную дополнительную информацию - такую, как маркеры аутентификации, ключи, сертификаты, пароли к точкам доступа Wi-Fi и т.п.
В состав EPB входит удобный инструмент, позволяющий просматривать записи из Связки ключей, полученной из зашифрованной резервной копии или скачанных из облака iCloud.
Внимание: поддерживаются только резервные копии с паролем, которые были расшифрованы в самом Elcomsoft Phone Breaker. При расшифровке не рекомендуется использовать восстановление оригинальных имён файлов.
Для доступа к Связке ключей потребуется следующее:
Тип данных |
Требования к извлечению |
Облачная Связка ключей из iCloud |
Данные Apple ID, пароль, код 2FA, код блокировки или пароль от одного из зарегистрированных устройств |
iTunes (без пароля) |
Теоретически доступны с аппаратным ключом, извлекаемым через джейлбрейк |
iTunes (расшифрован в EPB) |
Пароль к резервной копии |
iTunes (зашифрован) |
Пароль к резервной копии |
EPB позволяет просматривать данные Облачной связки ключей iCloud Keychain (iCloud_Keychain.xml file) и синхронизированных из iCloud данных (icloud_synced.xml file).
Также можно просматривать Связку ключей, извлечённую посредством Elcomsoft iOS Forensic Toolkit. Имя файла по умолчанию - keychaindump.xml.
Для анализа Связки ключей:
1.В меню Tools/Инструменты выберите вкладку Apple и нажмите Explore keychain/Просмотр связки ключей.
2.Нажмите Browse/Обзор и выберите путь к файлу:
Источник данных |
Имя файла |
Резервная копия iTunes |
Manifest.plist |
Данные Связки ключей, скачанные при помощи EPB 9.50 и более старых версий |
iCloud_Keychain.xml |
Данные Связки ключей, скачанные при помощи EPB 9.60 и более новых версий из синхронизированных данных iCloud |
icloud_synced.xml |
Образ данных, извлечённый посредством Elcomsoft iOS Forensic Toolkit |
keychaindump.xml |
Внимание: вы можете перетащить нужный файл Manifest.plist на окно Explore Keychain/Просмотр связки ключей.
Внимание: На macOS 10.14 и более новых версиях, необходимо предоставить EPB полный доступ к диску (Full Disk Access). В противном случае доступ к папке iTunes будет запрещён. Детали в секции Troubleshooting.
3.Выберите файл и нажмите Continue/Продолжить.
4. В зависимости от того, зашифрована ли резервная копия:
▪Не зашифрована: если в вашем распоряжении есть Security key/Код безопасности, извлечённый из устройства, введите его:
▪Зашифрована: Введите пароль. Для его отображения, нажмите View/Показать 
.
Если пароль неизвестен, вы можете попытаться его восстановить (восстановление паролей.)
4. Нажмите Explore/Перейти к просмотру для просмотра Связки ключей.
5. Записи отображаются по категориям:
Категория |
Общая информация |
Информация для категории |
Apple ID |
oНазвание: источник данных в Связке ключей oДата создания oДата последнего изменения |
oApple ID (учётная запись) oПароль |
Wi-Fi accounts |
oSSID (учётная запись) oПароль |
|
Mail accounts |
oПротокол oУчётная запись oПароль |
|
Browser passwords |
oАдрес oУчётная запись oПароль |
|
Credit cards |
oНазвание карты oИмя держателя карты oНомер карты oСрок окончания действия |
|
DSIDs & Tokens |
oМаркер аутентификации oDSID |
|
Other |
Все остальные типы записей |
6. Информация о паролях отображается в древовидной системе:
•Древовидное отображение: вид по умолчанию. Можно активировать кликом на 
icon.
Здесь отображаются все записи, включая те, которые не были расшифрованы.
Командой Show only decrypted data/Показать только расшифров. записи можно скрыть записи, которые не были расшифрованы. Рекомендуется использовать с целью упрощения анализа.
Кликните по стрелке оранжевого цвета, чтобы раскрыть дополнительную информацию о записи.
Раскрыть информацию обо всех записях можно командой Expand all/Развернуть все.
Свернуть все записи можно командой Collapse all/Свернуть все.
Для того, чтобы вместо паролей отображалась маска из символов *, зайдите в настройки EPB Settings и отметьте Mask passwords in Explore keychain/Скрыть пароли при просмотре связки ключей.
В строке поиска можно вводить поисковые запросы. Если будет найдено больше одной записи, между ними можно переключаться, нажимая на стрелки в окне поиска.
•Категории: отображение категорий включается нажатием иконки 
.
В этом виде записи выводятся отсортированными по категории.
•Табличный вид: активируется иконкой 
.
Чтобы отсортировать данные, кликните по заголовке соответствующего столбца.
Экспорт данных
Вы можете экспортировать как все данные связки ключей, так и данные из выбранной категории.
Экспорт данных из окна древовидного просмотра:
1. Выберите опцию Show checkboxes to select data for export/Показать опции выбора данных для экспорта.
2. Отметьте записи, которые хотите экспортировать, либо нажмите Check All/Выбрать все.
3. Нажмите Export Data/Экспортировать в правом верхнем углу программы и выберите All/Все либо Selected/Выбранные.
4. Укажите место на диске, куда будут сохранены данные.
5. Нажмите Save/Сохранить.
6. Имя файла, в который будут сохранены данные по умолчанию - keychain_export.xml.
Экспорт данных из окна категорий или табличного вида:
1. Нажмите Export Data/Экспортировать в правом верхнем углу программы и выберите All/Все либо Selected/Выбранные.
2. Укажите место на диске, куда будут сохранены данные.
3.Нажмите Save/Сохранить.
4. Имя файла, в который будут сохранены данные по умолчанию - keychain_export.xml.
Имена файлов, в которые сохраняются только отмеченные категории - keychain_export_<category_name>.xml либо keychain_export_<category_name>.csv.
Создание словаря
Из паролей, обнаруженных в Связке ключей, можно создать целевой словарь для атаки на зашифрованные файлы и документы пользователя. Словарь создаётся в текстовом формате.
Чтобы создать словарь, нажмите Create dictionary/Создать словарь в верхнем правом углу программы. Укажите путь на диске, куда будет сохранён файл, и нажмите Save/Сохранить.
По умолчанию, словарь сохраняется в файле keychain_passwords.txt.