Elcomsoft iOS Forensic Toolkit 8.0 Beta für Mac bietet Unterstützung für forensisch einwandfreie RAM-basierte Checkm8-Extraktion und ermöglicht die vollständige Extraktion des Dateisystems und die Entschlüsselung des Schlüsselbunds von einer Vielzahl von Apple-Geräten.
Elcomsoft iOS Forensic Toolkit 8.0 Beta für Mac bietet forensisch fundierte Extraktion von iPhone 5s, iPhone 6, 6 Plus, 6s, 6s Plus und iPhone SE (1.Gen) Geräten mit einem bekannten oder leeren Passcode für die Bildschirmsperre. Anstatt auf dem checkra1n-Jailbreak zu basieren, wird unsere Lösung direkt vom checkm8-Exploit abgeleitet. Das Patchen des Geräts wird vollständig im RAM durchgeführt, und das auf dem Gerät installierte Betriebssystem bleibt unberührt und wird während des Startvorgangs nicht verwendet.
Die neue Extraktionsmethode ist die bisher sauberste. Auf dem Gerät werden keine Protokolleinträge hinzugefügt, und es werden keinerlei Änderungen an einem Bereich des Gerätespeichers vorgenommen, weder im System noch in Datenpartitionen. Die einzige Ausnahme, wenn wir eine Änderung vornehmen müssen, ist eine Situation, in der sich das Dateisystem im Status "Dirty" befindet. In diesem Fall muss unsere Lösung das Dateisystem reparieren, um das Entsperren zu ermöglichen.
Unsere checkm8-Lösung unterstützt alle Versionen von iOS, die auf unterstützter Hardware bis einschließlich iOS 14.5.1 installiert werden können, mit Ausnahme der iOS 7-Reihe (iPhone 5s). Die meisten iOS-Betas werden ebenfalls unterstützt. Inoffizielle Unterstützung ist für Geräte mit iPod touch (6. Generation), iPad Air (1. Generation), iPad mini 2/3/4 und iPad (5. Generation) verfügbar.
Unser neues direktes Extraktionsverfahren bietet eine Reihe von Vorteilen im Vergleich zu anderen Extraktionsmethoden und konkurrierenden Lösungen. Wir bieten einen einzigartigen, forensisch fundierten Extraktionsprozess an, bei dem 100% der Patches im RAM des Geräts erfolgen. Unser Prozess startet niemals das auf dem Gerät installierte Betriebssystem und berührt niemals die Systempartition. Unser Tool bringt keinen proprietären Code mit und bietet Links zum Herunterladen der offiziellen Apple-Firmware, die der auf dem Gerät installierten iOS-Version entspricht (es wird gepatcht und zum Booten des Geräts verwendet). Zur Installation des Exploits wird eine Echtzeitanleitung mit Anweisungen und Countdowns angezeigt.
Die Checkm8-basierte Extraktion funktioniert mit gesperrten und deaktivierten Geräten im BFU-Modus, während der USB-eingeschränkte Modus komplett umgangen werden kann.
Mit diesem Update wird das Elcomsoft iOS Forensic Toolkit zum fortschrittlichsten iOS-Akquisitionstool auf dem Markt. Das Toolkit unterstützt jetzt alle möglichen Erfassungsmethoden (mit bekannten Einschränkungen, an denen wir arbeiten). Die agentenbasierte Extraktion und die checkm8-basierte Extraktion über den Geräte-RAM sind einige der einzigartigen Funktionen des Tools. Die Liste der unterstützten Geräte wird in nachfolgenden Versionen erweitert.