Elcomsoft iOS Forensic Toolkit 7.03 ist ein kleineres Update mit mehreren Bugfixes und Verbesserungen, insbesondere zur Extraktion von 32-Bit-Legacy-Geräten.
In diesem Build haben wir die Extraktion von älteren (32-Bit) iOS-Geräten wie dem iPhone 5 und 5c erheblich verbessert. Am wichtigsten ist es, dass wir alle Probleme bei der physischen Erfassung des iPhone 5c gelöst haben. Dieses Modell verfügt über eine etwas andere Verschlüsselungs-Methode als die des iPhone 5. Darüber hinaus sind einige seltene Fälle aufgetreten, in denen der Schlüsselbund-Header eine nicht standardmäßige Versionsnummer aufweist, sodass iOS Forensic Toolkit den Schlüsselbund nicht entschlüsseln konnte. Auch das wird nun möglich gemacht.
Als nächstes haben wir die Jailbreak-Erkennung für ältere Modelle verbessert, was besonders für die Extraktion des iPhone 4s relevant ist. Da dem iPhone 4s noch eine funktionierende checkm8-Implementierung fehlt, beschränken sich die Extraktions-Möglichkeiten derzeit auf Jailbreaking mit anschließender Dateisystem- und Schlüsselbund-Extraktion.
Die agentenbasierte Erfassung für alle 64-Bit-Modelle (iPhone 5s bis iPhone 12 Pro Max, iOS 9.0 bis 14.3) wird dank verbesserter Agentensignierung/Sideloading flexibler. Wenn Sie ein Entwicklerkonto und einen macOS-Computer verwenden, können Sie jetzt beim Sideloaden des Extraktions-Agenten ein App-spezifisches Passwort verwenden. Durch die Verwendung eines App-spezifischen Passworts kann beim Sideloaden des Extraktionsagenten die Zwei-Faktor-Authentifizierung übersprungen werden, wodurch die automatische Verwendung dieses Passworts über die Konfigurationsdatei ermöglicht wird.
Schließlich wurde die Disk-Image-Entschlüsselungs-Engine für macOS von Grund auf überarbeitet. Die neue Multithread-Entschlüsselungs-Engine wird beim Entschlüsseln von HFS+-Partitionen, die aus älte-ren 32-Bit-iPhones extrahiert wurden, deutlich robuster, zuverlässiger und kompatibel. Darüber hinaus bietet die neue Engine unter bestimmten Bedingungen eine blitzschnelle Leistung beim Entschlüsseln von HFS+-Bildern (sowohl das verschlüsselte als auch das entschlüsselte Images werden auf derselben APFS-Partition gespeichert und das Image enthält viel leeren Speicherplatz oder unverschlüsselte Da-teien).
Versionshinweise:
Links