В обновлённой версии Elcomsoft Phone Viewer появилась поддержка образов файловой системы устройств под управлением iOS, полученных в результате физического извлечения данных с помощью Elcomsoft iOS Forensic Toolkit. Кроме того, добавлена возможность просмотра истории местоположении пользователя.

Elcomsoft Phone Viewer получил крупное обновление. В версии 3.70 добавлена поддержка образов файловой системы в формате TAR, которые получаются в результате физического извлечения данных из устройств под управлением iOS. Именно в таком формате выдаёт данные как Elcomsoft iOS Forensic Toolkit, так и сторонние решения, поддерживающие возможность физического извлечения информации.

Физическое извлечение данных: просмотр образов файловой системы

С момента выхода iPhone 5s, первого устройства Apple под управлением 64-разрядного процессора, процесс и результат физического извлечения данных кардинально изменились. Если для 32-битных моделей (iPhone 5c и более старых) существовала возможность снятия и расшифровки полного образа раздела данных, то для 64-разрядных моделей, оборудованных подсистемой безопасности Secure Enclave, возможно лишь копирование файловой системы.

Снятие образа файловой системы с точным воссозданием путей к файлам и структуры директорий осуществляется в инструментарии для мобильных криминалистов Elcomsoft iOS Forensic Toolkit специальной командой “TARBALL”. Команда отрабатывается самим устройством средствами операционной системы iOS. Результат работы – образ файловой системы, запакованный в архив в формате TAR. Решения от сторонних производителей работают схожим образом, выдавая точно такой же образ в точно таком же формате TAR.

Агрегирование данных о местоположении

Пользователи новой версии Elcomsoft Phone Viewer смогут анализировать историю местоположения пользователя на основе информации, собранной из ряда источников. Информация, полученная из различных источников, автоматически агрегируется и выводится в виде единого списка. Помимо данных, полученных из системного журнала, Elcomsoft Phone Viewer извлекает информацию о местоположении устройства из следующих источников:

• Частые/значительные пункты
• Кэш данных о местоположении
• Apple Maps
• Google Maps
• EXIF из медиа-файлов
• События календаря
• Приложение UBER

Использование многочисленных источников данных позиционирования позволяет более точно установить местоположение пользователя в заданном временном промежутке. Ряд источников доступен лишь при физическом извлечении (TAR); данные в резервных копиях могут быть доступны с ограничениями. В будущем планируется расширение списка поддерживаемых источников данных о местоположении.