Elcomsoft iOS Forensic Toolkit 8.0 bietet forensisch fundierte Bootloader-basierte Extraktion für ausgewählte iPhone- und iPad-Modelle

Elcomsoft iOS Forensic Toolkit in der neu überarbeiteten Version 8.0 ist eine Hauptversion, die Unterstützung für wiederholbare, verifizierbare und eine forensisch fundierte Extraktion auf Bootloader-Ebene für eine breite Palette von Apple-Geräten bietet. Das Tool verfügt außerdem über eine aktualisierte, befehlszeilengesteuerte Benutzeroberfläche.

Das iOS Forensic Toolkit 8.0 bietet eine forensisch fundierte Extraktion auf Bootloader-Ebene von 76 Apple-Geräten, die vom alten iPhone 4 bis hin zum iPhone X, einer großen Anzahl von iPad-, iPod Touch-, Apple Watch- und Apple TV-Modellen reichen. Der neu entwickelte checkm8-Extraktions-Prozess unterstützt Betriebssystem-Versionen von iOS 7 bis iOS 15.7 in drei verschiedenen Varianten (iOS, tvOS, watchOS) für drei verschiedenen Architekturen (arm64, armv7, armv7k). Eine eingeschränkte Unterstützung für iOS 16 ist ebenfalls verfügbar.

Checkm8-Extraktion

Für Geräte, die auf der armv7- und armv7k-Architektur basieren, ist eine vollständige Entsperrung des Passcodes zusammen mit der Dateisystem-Extraktion und Schlüsselbund-Entschlüsselung verfügbar. Bei neueren arm64-basierten Geräten werden die vollständige Dateisystem-Extraktion und die Schlüsselbund-Entschlüsselung für Geräte mit einem bekannten oder leeren Passcode unterstützt. Schließlich erfordert die neueste unterstützte Reihe, einschließlich iPhone 8, 8 Plus und iPhone X, das Entfernen des Passcodes vor dem Extrahieren für iOS 14 bis iOS 15.7. Die Unterstützung von iOS 16 ist aufgrund des neuen SEP-Fix auf A11-basierten Geräten eingeschränkt.

Das von uns neu entwickelte checkm8-Extraktions-Verfahren ist das bisher sauberste. Es werden keine Protokoll-Einträge auf dem Gerät hinzugefügt und es werden keine Änderungen an der System- oder Datenpartition vorgenommen. Unser Extraktions-Prozess ist einzigartig, da alle Schritte des Prozesses vollständig im flüchtigen Speicher des Geräts ausgeführt werden. Die Daten bleiben unberührt, was wiederholbare, überprüfbare Extraktionen ermöglicht.

Unsere checkm8-Lösung unterstützt alle Versionen von iOS, die auf unterstützter Hardware bis einschließlich iOS 15.7 installiert werden können. Darüber hinaus unterstützt der Extraktions-Prozess alle kompatiblen tvOS und watchOS, die auf unterstützten Apple Watch- und Apple TV-Modellen installiert sind.

Der einzigartige, forensisch fundierte checkm8-Prozess, bei dem 100 % des Patchings im Geräte-RAM erfolgt, ermöglicht fundierte, wiederholbare und überprüfbare Extraktionen. Für 64-Bit-Geräte mit unbekannten Passwörtern für die Bildschirmsperre ist eine eingeschränkte BFU-Extraktion (Before First Unlock) verfügbar, während USB-Einschränkungen vollständig umgangen werden können.

Neue Benutzererfahrung

iOS Forensic Toolkit 8.0 bietet eine neue, erweiterte Benutzererfahrung, die auf der Befehlszeile basiert. Die Verwendung der Befehlszeile ermöglicht es Experten, die volle Kontrolle über jeden Schritt des Extraktionsablaufs zu behalten. Dank der Befehlszeile können Experten auch ihre eigenen Skripte erstellen, um ihre spezifischen Routinen zu automatisieren.

Mit diesem Update wird das Elcomsoft iOS Forensic Toolkit zum fortschrittlichsten iOS-Akquisitions-Tool auf dem Markt. Das Toolkit unterstützt nun alle möglichen Erfassungs-Methoden, einschließlich fortschrittlicher logischer, Agenten-basierter und checkm8-basierter Low-Level-Extraktion.

Versionshinweise

  • Neue Befehlszeilenschnittstelle
  • Checkm8-Extraktion für alle unterstützten iPhones & iPads wurde hinzugefügt
  • Checkm8-Extraktion für Apple TV 3, Apple TV HD und Apple TV 4K (1. Generation) wurde hinzugefügt
  • Checkm8 Extraktion für Apple Watch S3 wurde hinzugefügt
  • Die Extraktion von Mediendateien speichert jetzt alle Dateien in einem einzigen Archiv (.tar)
  • Pairing/Unpairing-Befehle wurden hinzugefügt
  • ssh- und scp-Befehle wurden hinzugefügt, um mit dem Gerät zu interagieren
  • Serielle Protokollierung wurde hinzugefügt (erfordert DCSD-Kabel)
  • Mehrere Korrekturen und Verbesserungen bei der logischen Erfassung
  • Fehlerbehebungen bei der Schlüsselbund-Extraktion

Siehe auch