ElcomSoft iOS Forensic Toolkit: 在 iOS 取证中重置屏幕密码锁的含义

2024-06-21 09:44

本文主要是介绍ElcomSoft iOS Forensic Toolkit: 在 iOS 取证中重置屏幕密码锁的含义,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

天津鸿萌科贸发展有限公司是 ElcomSoft 系列软件的授权代理商。

在 iOS 设备取证领域,解锁屏幕密码锁是一道初始且重要的环节。使用 checkm8 漏洞进行低级提取已成为一种常见做法。但是,使用此方法时,可能偶尔需要删除设备的屏幕锁定密码,这可能会导致一些不良后果。在本文中,我们将研究这些后果,并了解何时需要重置屏幕锁定,何时可以避免,以及最新的 ElcomSoft iOS Forensic Toolkit 可以为此做些什么。

ElcomSoft iOS Forensic Toolkit Ver. 8.55 设法绕过了以前需要重置绝大多数设备的屏幕锁定密码的要求。但是,对于运行 iOS 14 或 15 的三种型号设备(iPhone 8、8 Plus、iPhone X),在使用 checkm8 提取时,仍然必须删除屏幕锁定密码。但是,我们建议使用一种不关心密码的替代低级提取方法。

为什么可能需要重置密码(以及为什么它甚至可能没有帮助)

在利用 checkm8 漏洞的方法中,使用的漏洞存在于硬编码的引导加载程序中。Apple 无法更改或修补此功能。但是,我们已经看到 Apple 开发人员在数据提取方面在很大程度上减轻了漏洞利用的影响。

随着 iOS 14 的发布,Apple 让移动取证专家的工作变得更加困难。特别是在 A11 iPhone 上,iOS 16 进一步强化了负责系统数据保护的 SEP(安全隔区处理器)。通过 DFU 模式启动设备时,SEP 会禁用解密用户数据所需的加密密钥。在 iOS 15(A10 和 A11 设备)中,在正常模式下启动时删除密码就足够了,在提取过程中不依赖那些硬件禁用的密钥。但是,在 iOS 16 中,如果在干净还原后在设备上设置了密码,则不再可能不依赖 SEP 禁用的密钥,从而大大改善了对用户数据的保护。

在较旧的 A10X 设备(如 iPad Pro 2)上,我们可以利用带有 blackbird 的 SEP 并告诉 SEP 不要禁用这些键,而像 iPad 5 这样的旧设备 (<=A9) 一开始就没有接受这种强化。

因此,如果运行 iOS 16 的 iPhone 8、8 Plus 或 iPhone X 在初始设置后使用了密码,则提取将失败。如果这些型号的 iPhone 运行的是 iOS 14 或 15,你们我们仍然可以访问用户数据;但是,需要删除密码。

什么时候需要重置密码

只有在以下情况下才需要删除屏幕锁定密码(所有条件必须适用):

  • 您正在执行 checkm8 提取
  • 该设备是 iPhone 8、8 Plus 或 iPhone X
  • 设备运行的是 iOS 14 或 15

如果任何一个条件不成立,则无需删除密码。

为什么删除密码可能是有害的

在调查期间删除屏幕锁定密码会产生多种后果:

  1. 提取过程在取证上不再合理,因为对设备进行了许多更改。
  2. 删除密码会导致某些数据永久丢失,例如Apple Pay交易,下载的基于Exchange的邮件,某些应用程序令牌等。
  3. 在某些情况下,在从受影响的设备登录iCloud之前,无法删除密码,这会产生明显的远程擦除/锁定风险,以及不需要的数据同步。
  4. 重置设备设置会导致设备上发生更多更改
  5. 从某种意义上说,该设备在访问存储在 iCloud 中的端到端加密数据时不再“受信任”。

由于这些原因,如果可以避免这种做法,我们不鼓励这种做法。考虑删除密码作为最后的手段,只有在仔细考虑所有利弊后才能使用。如果您仍然需要重置屏幕锁定代码,请确保已事先对设备进行备份(即使它受密码保护),已通过 AFC 协议提取媒体文件,并且已保存诊断日志和应用程序文件。

如何删除屏幕锁定密码

虽然删除屏幕锁定密码通常是一个简单明了的过程(设置、面容 ID 和密码,关闭密码;系统会提示您输入原始密码),但即使在这个简单的过程中,您也可能会遇到问题。“屏幕时间”密码、MDM、外部安全策略和某些设备设置可能会阻止您停用密码验证。

何时不需要重置密码

到目前为止,我们已经认为,当您进行 checkm8 提取时,您只需要重置运行 iOS 14 和 15 的 iPhone 8, 8 Plus 和 iPhone X 设备的屏幕锁定密码。但是,存在另一种低级提取方法,使用该方法可以获得相同数量的数据,而无需重置屏幕锁定密码。

如果设备运行的是 iOS 14 或 15(甚至 iOS 16,目前最高可达 iOS 16.5.1),则可以使用 ElcomSoft iOS Forensic Toolkit 工具包中的提取代理。提取代理不需要删除屏幕锁定密码。

重要:以前,对于运行 iOS 16 的以下 iPad 机型,系统会提示您删除屏幕锁定密码:

  • iPad Pro // A9X
  • iPad Pro 2 // A10X
  • iPad 5 // A9
  • iPad 6 // A10
  • iPad 7 // A10

最新版本的 iOS Forensic Toolkit 8.55 不再如此。如果您安装了旧版本,我们建议您更新到最新版本的 iOS Forensic Toolkit。

结论

在 iOS Forensic Toolkit 中,我们利用所有当前的漏洞,包括 A10 处理器的 SEP 漏洞,尽可能绕过密码。在使用本产品时,只有在理论上无法绕过屏幕锁定密码时才需要重置它。而其他同类软件则会在更多场景中都要求移除屏幕锁定密码。

这篇关于ElcomSoft iOS Forensic Toolkit: 在 iOS 取证中重置屏幕密码锁的含义的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/1080874

相关文章

安卓链接正常显示,ios#符被转义%23导致链接访问404

原因分析: url中含有特殊字符 中文未编码 都有可能导致URL转换失败,所以需要对url编码处理  如下: guard let allowUrl = webUrl.addingPercentEncoding(withAllowedCharacters: .urlQueryAllowed) else {return} 后面发现当url中有#号时,会被误伤转义为%23,导致链接无法访问

AI Toolkit + H100 GPU,一小时内微调最新热门文生图模型 FLUX

上个月,FLUX 席卷了互联网,这并非没有原因。他们声称优于 DALLE 3、Ideogram 和 Stable Diffusion 3 等模型,而这一点已被证明是有依据的。随着越来越多的流行图像生成工具(如 Stable Diffusion Web UI Forge 和 ComyUI)开始支持这些模型,FLUX 在 Stable Diffusion 领域的扩展将会持续下去。 自 FLU

【iOS】MVC模式

MVC模式 MVC模式MVC模式demo MVC模式 MVC模式全称为model(模型)view(视图)controller(控制器),他分为三个不同的层分别负责不同的职责。 View:该层用于存放视图,该层中我们可以对页面及控件进行布局。Model:模型一般都拥有很好的可复用性,在该层中,我们可以统一管理一些数据。Controlller:该层充当一个CPU的功能,即该应用程序

Weex入门教程之4,获取当前全局环境变量和配置信息(屏幕高度、宽度等)

$getConfig() 获取当前全局环境变量和配置信息。 Returns: config (object): 配置对象;bundleUrl (string): bundle 的 url;debug (boolean): 是否是调试模式;env (object): 环境对象; weexVersion (string): Weex sdk 版本;appName (string): 应用名字;

一款支持同一个屏幕界面同时播放多个视频的视频播放软件

GridPlayer 是一款基于 VLC 的免费开源跨平台多视频同步播放工具,支持在一块屏幕上同时播放多个视频。其主要功能包括: 多视频播放:用户可以在一个窗口中同时播放任意数量的视频,数量仅受硬件性能限制。支持多种格式和流媒体:GridPlayer 支持所有由 VLC 支持的视频格式以及流媒体 URL(如 m3u8 链接)。自定义网格布局:用户可以配置播放器的网格布局,以适应不同的观看需求。硬

Linux错误代码及其含义

最近在做工程的时候,程序在崩溃时候弹出了错误号,然后根据错误号搜索错误信息,很快解决之,特此记录。 在程序出错时,我们通过全局变量错误号errno和perror函数能够很快的定位到错误原因。 Linux错误代码及其含义 C NameValueDescription含义Success0Success成功EPERM1Operation not permitted操作不允许ENOENT2No

iOS剪贴板同步到Windows剪贴板(无需安装软件的方案)

摘要 剪贴板同步能够提高很多的效率,免去复制、发送、复制、粘贴的步骤,只需要在手机上复制,就可以直接在电脑上 ctrl+v 粘贴,这方面在 Apple 设备中是做的非常好的,Apple 设备之间的剪贴板同步功能(Universal Clipboard)确实非常方便,它可以在 iPhone、iPad 和 Mac 之间无缝传输剪贴板内容,从而大大提高工作效率。 但是,iPhone 如何和 Wind

安卓实现弹出软键盘屏幕自适应调整

今天,我通过尝试诸多方法,最终实现了软键盘弹出屏幕的自适应。      其实,一开始我想通过EditText的事件来实现,后来发现,安卓自带的函数十分强大,只需几行代码,便可实现。实现如下:     在Manifest中设置activity的属性:android:windowSoftInputMode="adjustUnspecified|stateHidden|adjustResi

iOS项目发布提交出现invalid code signing entitlements错误。

1、进入开发者账号,选择App IDs,找到自己项目对应的AppId,点击进去编辑, 2、看下错误提示出现  --Specifically, value "CVYZ6723728.*" for key "com.apple.developer.ubiquity-container-identifiers" in XX is not supported.-- 这样的错误提示 将ubiquity

我的第一次份实习工作-iOS实习生-第三个月

第三个月 这个月有一个考核项目,是一个电子书阅读器,组长说很重要,是我的实习考核项目。 我的项目XTReader,这是我参考网上的一些代码,和模仿咪咕阅读做的,功能还不完善,数据的部分是用聚合数据做的。要收费的。   还有阅读页面,基本功能实现了一下。使用了autolayout,自适应布局,也是第一次用网络,第一次用数据库,第一次用自动布局。还有很多不足。 做了一周多,有个问题一直没