Elcomsoft iOS Forensic Toolkit 7.03 vereinfacht Sideloading von Agenten in macOS und verbessert Unterstützung für ältere Geräte

Elcomsoft iOS Forensic Toolkit 7.03 ist ein kleineres Update mit mehreren Bugfixes und Verbesserungen, insbesondere zur Extraktion von 32-Bit-Legacy-Geräten.

In diesem Build haben wir die Extraktion von älteren (32-Bit) iOS-Geräten wie dem iPhone 5 und 5c erheblich verbessert. Am wichtigsten ist es, dass wir alle Probleme bei der physischen Erfassung des iPhone 5c gelöst haben. Dieses Modell verfügt über eine etwas andere Verschlüsselungs-Methode als die des iPhone 5. Darüber hinaus sind einige seltene Fälle aufgetreten, in denen der Schlüsselbund-Header eine nicht standardmäßige Versionsnummer aufweist, sodass iOS Forensic Toolkit den Schlüsselbund nicht entschlüsseln konnte. Auch das wird nun möglich gemacht.

Als nächstes haben wir die Jailbreak-Erkennung für ältere Modelle verbessert, was besonders für die Extraktion des iPhone 4s relevant ist. Da dem iPhone 4s noch eine funktionierende checkm8-Implementierung fehlt, beschränken sich die Extraktions-Möglichkeiten derzeit auf Jailbreaking mit anschließender Dateisystem- und Schlüsselbund-Extraktion.

Die agentenbasierte Erfassung für alle 64-Bit-Modelle (iPhone 5s bis iPhone 12 Pro Max, iOS 9.0 bis 14.3) wird dank verbesserter Agentensignierung/Sideloading flexibler. Wenn Sie ein Entwicklerkonto und einen macOS-Computer verwenden, können Sie jetzt beim Sideloaden des Extraktions-Agenten ein App-spezifisches Passwort verwenden. Durch die Verwendung eines App-spezifischen Passworts kann beim Sideloaden des Extraktionsagenten die Zwei-Faktor-Authentifizierung übersprungen werden, wodurch die automatische Verwendung dieses Passworts über die Konfigurationsdatei ermöglicht wird.

Schließlich wurde die Disk-Image-Entschlüsselungs-Engine für macOS von Grund auf überarbeitet. Die neue Multithread-Entschlüsselungs-Engine wird beim Entschlüsseln von HFS+-Partitionen, die aus älte-ren 32-Bit-iPhones extrahiert wurden, deutlich robuster, zuverlässiger und kompatibel. Darüber hinaus bietet die neue Engine unter bestimmten Bedingungen eine blitzschnelle Leistung beim Entschlüsseln von HFS+-Bildern (sowohl das verschlüsselte als auch das entschlüsselte Images werden auf derselben APFS-Partition gespeichert und das Image enthält viel leeren Speicherplatz oder unverschlüsselte Da-teien).

Versionshinweise:

  • macOS, Entwickler-Apple-ID-Konten: Möglichkeit hinzugefügt, den Akquisitionsagenten mit einem App-spezifischen Passwort zu signieren
  • Entschlüsselung von iPhone 5c-Bildern behoben
  • Die Extraktion des iPhone 5/5c-Schlüsselbunds mit physischer/checkm8-Erfassung für einige spezifische Schlüsselbundversionen wurde behoben
  • Schlüsselbund-Extraktion für ältere iPhone- und iPad-Modelle mit Jailbreak behoben (32-Bit-Modelle)
  • Verbesserte Jailbreak-Erkennung
  • Das Problem, dass extrahierte Daten in falschen Ordnern abgelegt wurden, wenn das Toolkit von der Konsole aus gestartet wurde, ist behoben worden
  • Die Entschlüsselung von Partitionsabbildern (alte Geräte) ist jetzt auf APFS blitzschnell, nur wenige Sekunden

Siehe auch