在 Apple 设备上执行取证任务时,进入设备不同模式的顺序可能会导致结果迥异。虽然 DFU 模式对于某些提取是必需的,尤其是当利用 checkm8 时,但直接进入 DFU 可能不是您的最佳选择。从 Recovery Mode(恢复模式)开始具有多项优势,使其成为一种更安全、更快速的方法。通过首先进入恢复模式,可以降低数据意外更改的风险,最大限度地减少耗时,并确保设备保持稳定状态。接下来,我们仔细看看为什么从恢复模式开始是取证提取的更好方法。
什么是 DFU 模式?
未记录的 DFU 代表“设备固件升级”。与专为普通用户设计的恢复模式不同,DFU 模式从来都不是为公众设计的。Apple 知识库中的任何地方都没有关于 DFU 的文档。进入 DFU 的方法主要是通过按下、按住和释放按钮的复杂操作序列,并具有精确的时间限制。在多个步骤中的任何一个步骤中,如果时间错误,都会导致重新启动设备,而不是将其切换到 DFU。另外,设备屏幕上也没有 DFU 模式的指示。如果设备成功切换到 DFU,显示屏将保持黑色。即使对于专家来说,进入 DFU 模式也可能很困难。
DFU 模式的取证影响
DFU 模式对于许多取证程序至关重要,尤其是那些依赖于硬件级漏洞的取证程序,例如 checkm8 或 checkra1n(用于 iPhone 5 到 iPhone X 的提取)。执行密码解锁时也需要 DFU。在某些设备上,可能还需要 DFU 模式进行有限的“首次解锁前”(BFU) 提取,这对于绕过设备的密码限制访问数据非常有用。此外,DFU 可用于重置锁定的手机,但请记住,这将触发 iCloud 锁定并擦除设备上的所有数据。
DFU 模式对于移动设备取证专家来说具有巨大的价值,具体取决于设备型号。基于 A5 到 A11 代 Apple 处理器的 iPhone、iPod Touch 和 iPad 设备(iPhone 4s 到 iPhone 8、8 Plus 和 iPhone X 的 iPhone 代,以及相应的 iPad 机型)存在不可修补的基于硬件的 bootrom 漏洞。此漏洞允许在受影响的设备上安装越狱,而不管安装的 iOS 版本如何。这也使得可以通过 DFU 模式提取有限但仍然大量的数据,而无需知道或破解密码。
- 所有设备:允许在没有密码的情况下获取设备信息
- 所有设备:允许绕过 USB 限制模式(尽管访问的信息量有限)
- 易受攻击的 iOS 设备(A5 到 A11 代):与恢复模式相比,返回的信息要多得多
- 犯罪分子利用此漏洞从运行旧版 iOS 的易受攻击设备(A5 至 A11 代)中删除激活锁。据悉,Apple 已在 iOS 13.3 中修复了此漏洞;但是,考虑到漏洞利用的性质,此功能可能会再次出现。
通过 DFU 模式,可以从易受攻击的 iOS 设备中提取以下信息:
- 有限的文件系统提取:已安装应用程序的列表、一些 Wallet 数据、Wi-Fi 连接列表、一些媒体文件、通知(这些可能包含一些聊天消息和其他有用的数据)和许多位置点。
- 使用 kSecAttrAccessibleAlways 和 kSecAttributeAccessibleAlwaysThisDeviceOnly 的钥匙串记录
- 利用某些第三方软件,还会处理 /private/var/wireless/Library/Databases/DataUsage.sqlite(应用程序的网络活动)、/private/var/preferences/(网络接口)或 /private/var/mobile/Library/Voicemail/(语音邮件消息)等文件,以显示更多信息。
什么是 Recovery 模式?
恢复模式是最容易解释的。根据 Apple 的说法,可以将 iOS 或 iPadOS 设备置于恢复模式,以使用计算机进行恢复。
如果出现以下情况之一,恢复模式将派上用场:
- iOS 或 iPadOS 设备在多次解锁尝试失败后被锁定,并显示“连接到 iTunes”消息。在许多情况下,将设备连接到 iTunes 不会成功,因为设备的数据连接被 USB 限制模式阻止。如果是这种情况,则必须将设备切换到恢复模式并连接到 iTunes 进行恢复。
- 忘记了屏幕锁定密码,并希望将设备重置为出厂设置。激活锁:重置后,您必须提供设备 Apple ID 帐户的 Apple ID/iCloud 密码。
- 设备无法完全启动;显示屏在 Apple 标志上卡住几分钟,没有进度条。
- 计算机无法识别设备或显示它处于恢复模式,或者看到恢复模式屏幕。
在利用引导加载程序漏洞时,专家通常会发现,如果他们在进入 DFU 之前先将设备切换到恢复模式,则会取得更大的成功。此过程适用于大多数 iPhone 型号,包括旧的 iPhone 5 和 iPhone 8 设备。
Recovery 模式有据可查且被广泛理解。而 DFU 是一种未被记录的模式,这使得正确执行更具挑战性。人们可以编译 DFU 模式作弊程序,但这仍然是一个难以执行的模式,需要完美的时机。如果错过了时间,设备将会直接重启而不是进入 DFU。
Recovery 模式的取证影响
Recovery 模式对于移动设备取证专家来说具有积极但有限的价值。
- 允许在没有密码的情况下获取设备信息。
- 允许绕过 USB 受限模式(尽管访问的信息量有限)。
- 对于较新的 iOS 设备(A12 及更高版本),与 DFU 模式相比,返回更多信息。
通过 Recovery 模式对设备执行取证时,只有非常有限的数据集可用:
- 设备型号:设备型号的两种表示形式,例如 iPhone7,2 (n61ap)、iPhone10,6 (d221ap) 等。
- ECID (UCID):XXXXXXXXXXXXXXXX。ECID(独占芯片标识)或唯一芯片 ID 是每个单元的唯一标识符,或者更准确地说,是每个 SoC 的唯一标识符。
- 序列号:XXXXXXXXXXX(或 N/A)
- IMEI:XXXXXXXXXXXXXXX(或不适用)。
- 模式:恢复
DFU 和 Recovery 模式的区别
虽然 DFU 和 Recovery 都旨在实现基本相同的目标,即通过刷新已知的工作固件来恢复不可启动的设备,但它们的工作方式却大不相同。
Recovery 模式启动进入 iBoot,并通过引导加载程序发出命令来工作。引导加载程序是操作系统的一部分,如果发现任何漏洞,可以进行刷写、更新或修补。恢复模式将仅接受已签名的固件映像,因此无法返回到不再由 Apple 签名的固件。当设备处于恢复模式时,用户会在设备上获得清晰的可见指示:
另一方面,DFU 或设备固件升级允许从任何状态恢复设备,包括引导加载程序损坏的设备。DFU 不通过软件可升级的引导加载程序运行。相反,DFU 作为 SecureROM 的一部分烧录到硬件中。DFU 无法更新、修补或禁用。因此,Apple 无法修补 bootrom 漏洞和相应的 checkm8 漏洞,从而允许专家从受影响的设备中提取某些数据,同时绕过密码保护和 USB 限制。
DFU 也只接受签名的固件包。只要一个固件包仍然由 Apple 签名,用户就可以随意升级和降级固件,因为 DFU 中没有降级保护。设备上没有相关指示,表示设备处于 DFU 模式。在 DFU 模式期间,设备屏幕保持黑色。
Recovery 模式是为最终用户和 Apple 设施设计的,而 DFU 模式根本不是为最终用户设计的。进入 Recovery 模式很容易;任何有一定经验的用户都可以按照说明进行作。进入 DFU 模式不仅要复杂得多,而且需要精确的时间。按住按钮一秒钟即超时,设备只会重启而不是进入 DFU。
设备重启的风险
允许设备重新启动到主操作系统可能会带来多种风险。无论是有意还是无意,在取证工作期间重新启动设备都可能导致数据更改,从而干扰提取过程。在未受保护或非隔离的环境中,设备可能会自动重新连接到无线网络,从而触发您不希望在提取过程中发生的云备份或数据同步。
即使没有 Internet 连接,重启仍可以创建新日志或覆盖现有日志。此外,对于临时存储数据的应用(例如某些 Messenger 中的“消失的消息”),重启可能会导致数据过早删除或覆盖。
这就是 Recovery 模式提供显著优势的地方。Recovery 模式更易于访问且启动速度更快,从而降低了这些不需要的更改的风险。通过从 Recovery 模式开始,您可以确保设备处于稳定状态,从而最大限度地减少提取过程中数据更改的可能性。
Recovery 模式还提供了一种更快的方法来重新启动设备。这对于 Apple Watch 等设备特别有用,因为正常重启可能需要更长的时间。如果设备无法进入 DFU 模式并重新启动到正常模式,则可能会导致延迟和并发问题。从 Recovery 模式开始可以帮助您避免这种情况,并使提取过程保持正轨。
最后,如果以恢复模式在每次启动期间自动激活的方式长期存放设备可能是一个好主意。这可以通过在恢复过程中使用 iOS Forensic Toolkit 翻转“autoboot”标志来实现,如 Forensically Sound checkm8 Extraction:可重复、可验证和安全中所述。
结论
在尝试 DFU 之前从恢复模式开始是确保更顺畅、更可靠的取证的简单而有效的步骤。它有助于最大限度地降低意外数据更改的风险,避免延迟,并使设备保持稳定状态。无论您是使用 checkm8 对旧设备操作,还是处理密码解锁,花时间先进入恢复模式都可以节省时间和减少麻烦。