Elcomsoft iOS Forensic Toolkit 7.03 упрощает установку агента из macOS, улучшает поддержку старых устройств

В обновлении Elcomsoft iOS Forensic Toolkit 7.03 упрощена установка агента-экстрактора с компьютеров под управлением macOS и существенно улучшен процесс низкоуровневого извлечения данных из устаревших 32-разрядных устройств.

В обновлении Elcomsoft iOS Forensic Toolkit 7.03 произведён ряд улучшений и исправлений ошибок.

Во-первых, был значительно упрощён процесс установки агента-экстрактора с компьютеров под управлением macOS. При установке агента-экстрактора на устройство пользователям компьютеров Mac, использующим учётную запись разработчика, приходилось использовать оригинальный пароль и в обязательном порядке проходить двухфакторную аутентификацию. В новой версии инструментария мы добавили возможность использовать пароль приложения, который позволяет устанавливать агент-экстрактор без обязательного прохождения двухфакторной аутентификации. Более того, пароль приложения можно сохранить в файле конфигурации EIFT, автоматизировав тем самым процесс установки агента-экстрактора.

Второе улучшение помогает извлекать данные из iPhone 5c с использованием checkm8. В предыдущих версиях инструментария возникала ошибка, приводящая к невозможности расшифровки снятого образа диска и связки ключей. Ошибка связана с тем, что в iPhone 5c, который стал последним из 32-битных устройств, расшифровка реализована иначе в сравнении с предыдущими моделями. В новой версии продукта расшифровка образа диска и связки ключей, извлечённых из iPhone 5c посредством checkm8, происходит корректно.

Кроме того, мы исправили работу и детектирование джейлбрейков для iPhone 4s, для которого в настоящий момент не поддерживается извлечение через checkm8. Для этой модели единственный способ извлечения файловой систему – установка джейлбрейка, который существует для всех версий iOS, на которых может работать iPhone 4s. В новой версии продукта мы проблемы исправлены.

Наконец, код для расшифровки образов 32-битных моделей iPhone, извлечённых посредством фи-зического анализа, полностью переписан. Благодаря этому расшифровка образов HFS+ стала быст-рее и надёжнее. Ускорение работает на компьютерах Mac при условии, что зашифрованный и расшифрованный образы сохраняются на том же локальном диске, который отформатирован APFS. В некоторых случаях (когда значительная часть образа не занята данными, или существенная часть файлов не зашифрована) расшифровка образов занимает считанные секунды.

Новое в iOS Forensic Toolkit 7.03:

  • Добавлена возможность подписывания агента-экстрактора паролем приложения (для учётных записей разработчиков, macOS)
  • Исправлена проблема с расшифровкой образов диска iPhone 5c
  • Исправлена проблема с извлечением связки ключей из iPhone 5/5c при использовании checkm8 для некоторых версий связки ключей
  • Исправлена проблема с извлечением связки ключей из старых 32-разрядных устройств iPhone и iPad с джейлбрейком
  • Улучшено определение джейлбрейков
  • Исправлена проблема с выходными папками для некоторых типов данных в случае, когда инструментарий запущен из командной строки

Дополнительно