ElcomSoft iOS Forensic Toolkit: 在 iOS 取证中重置屏幕密码锁的含义

最新推荐文章于 2024-07-08 22:04:26 发布
最新推荐文章于 2024-07-08 22:04:26 发布
阅读量855 收藏 13
点赞数 20
分类专栏: ElcomSoft 取证工具 文章标签: ios 重置锁屏密码 iOS取证
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sanyuan7783/article/details/139848497
版权

天津鸿萌科贸发展有限公司是 ElcomSoft 系列软件的授权代理商。

在 iOS 设备取证领域,解锁屏幕密码锁是一道初始且重要的环节。使用 checkm8 漏洞进行低级提取已成为一种常见做法。但是,使用此方法时,可能偶尔需要删除设备的屏幕锁定密码,这可能会导致一些不良后果。在本文中,我们将研究这些后果,并了解何时需要重置屏幕锁定,何时可以避免,以及最新的 ElcomSoft iOS Forensic Toolkit 可以为此做些什么。

ElcomSoft iOS Forensic Toolkit Ver. 8.55 设法绕过了以前需要重置绝大多数设备的屏幕锁定密码的要求。但是,对于运行 iOS 14 或 15 的三种型号设备(iPhone 8、8 Plus、iPhone X),在使用 checkm8 提取时,仍然必须删除屏幕锁定密码。但是,我们建议使用一种不关心密码的替代低级提取方法。

为什么可能需要重置密码(以及为什么它甚至可能没有帮助)

在利用 checkm8 漏洞的方法中,使用的漏洞存在于硬编码的引导加载程序中。Apple 无法更改或修补此功能。但是,我们已经看到 Apple 开发人员在数据提取方面在很大程度上减轻了漏洞利用的影响。

随着 iOS 14 的发布,Apple 让移动取证专家的工作变得更加困难。特别是在 A11 iPhone 上,iOS 16 进一步强化了负责系统数据保护的 SEP(安全隔区处理器)。通过 DFU 模式启动设备时,SEP 会禁用解密用户数据所需的加密密钥。在 iOS 15(A10 和 A11 设备)中,在正常模式下启动时删除密码就足够了,在提取过程中不依赖那些硬件禁用的密钥。但是,在 iOS 16 中,如果在干净还原后在设备上设置了密码,则不再可能不依赖 SEP 禁用的密钥,从而大大改善了对用户数据的保护。

在较旧的 A10X 设备(如 iPad Pro 2)上,我们可以利用带有 blackbird 的 SEP 并告诉 SEP 不要禁用这些键,而像 iPad 5 这样的旧设备 (<=A9) 一开始就没有接受这种强化。

因此,如果运行 iOS 16 的 iPhone 8、8 Plus 或 iPhone X 在初始设置后使用了密码,则提取将失败。如果这些型号的 iPhone 运行的是 iOS 14 或 15,你们我们仍然可以访问用户数据;但是,需要删除密码。

什么时候需要重置密码

只有在以下情况下才需要删除屏幕锁定密码(所有条件必须适用):

  • 您正在执行 checkm8 提取
  • 该设备是 iPhone 8、8 Plus 或 iPhone X
  • 设备运行的是 iOS 14 或 15

如果任何一个条件不成立,则无需删除密码。

为什么删除密码可能是有害的

在调查期间删除屏幕锁定密码会产生多种后果:

  1. 提取过程在取证上不再合理,因为对设备进行了许多更改。
  2. 删除密码会导致某些数据永久丢失,例如Apple Pay交易,下载的基于Exchange的邮件,某些应用程序令牌等。
  3. 在某些情况下,在从受影响的设备登录iCloud之前,无法删除密码,这会产生明显的远程擦除/锁定风险,以及不需要的数据同步。
  4. 重置设备设置会导致设备上发生更多更改
  5. 从某种意义上说,该设备在访问存储在 iCloud 中的端到端加密数据时不再“受信任”。

由于这些原因,如果可以避免这种做法,我们不鼓励这种做法。考虑删除密码作为最后的手段,只有在仔细考虑所有利弊后才能使用。如果您仍然需要重置屏幕锁定代码,请确保已事先对设备进行备份(即使它受密码保护),已通过 AFC 协议提取媒体文件,并且已保存诊断日志和应用程序文件。

如何删除屏幕锁定密码

虽然删除屏幕锁定密码通常是一个简单明了的过程(设置、面容 ID 和密码,关闭密码;系统会提示您输入原始密码),但即使在这个简单的过程中,您也可能会遇到问题。“屏幕时间”密码、MDM、外部安全策略和某些设备设置可能会阻止您停用密码验证。

何时不需要重置密码

到目前为止,我们已经认为,当您进行 checkm8 提取时,您只需要重置运行 iOS 14 和 15 的 iPhone 8, 8 Plus 和 iPhone X 设备的屏幕锁定密码。但是,存在另一种低级提取方法,使用该方法可以获得相同数量的数据,而无需重置屏幕锁定密码。

如果设备运行的是 iOS 14 或 15(甚至 iOS 16,目前最高可达 iOS 16.5.1),则可以使用 ElcomSoft iOS Forensic Toolkit 工具包中的提取代理。提取代理不需要删除屏幕锁定密码。

重要:以前,对于运行 iOS 16 的以下 iPad 机型,系统会提示您删除屏幕锁定密码:

  • iPad Pro // A9X
  • iPad Pro 2 // A10X
  • iPad 5 // A9
  • iPad 6 // A10
  • iPad 7 // A10

最新版本的 iOS Forensic Toolkit 8.55 不再如此。如果您安装了旧版本,我们建议您更新到最新版本的 iOS Forensic Toolkit。

结论

在 iOS Forensic Toolkit 中,我们利用所有当前的漏洞,包括 A10 处理器的 SEP 漏洞,尽可能绕过密码。在使用本产品时,只有在理论上无法绕过屏幕锁定密码时才需要重置它。而其他同类软件则会在更多场景中都要求移除屏幕锁定密码。

鸿萌数据安全
关注
  • 20
    点赞
  • 13
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
如何在iPhone或iPad上启用USB受限模式(适用于iOS 11.4.1)
09-17 2788
Apple’s iPhones are extremely secure once you’ve used TouchID or FaceID and a passcode to lock them down, but there was a loophole with specialized USB tools plugging into the lightning port. Here’s h...
ios_triage:Bash脚本从“ chekcra1ned” iOS设备提取数据
01-31
在实际操作,"ios_triage"还可以与其他工具结合使用,例如,配合ios_bfu_triage进行更深入的固件分析,或者与取证软件如Elcomsoft Phone Breaker或Forensic Toolkit (FTK)集成,实现更全面的证据处理。 在安全性...
Elcomsoft iOS Forensics Toolkit: iPhone/iPad/iPod 设备取证工具包
sanyuan7783的博客
04-26 1144
对于所有支持的型号,工具包可以提取和解密用户分区和钥匙串。在受支持的设备上使用 iOS Forensic Toolkit 时,第一个提取的镜像的校验和与后续提取的校验和匹配,前提是该设备在提取之间关闭电源,并且在此期间从不启动已安装的 iOS 版本。Elcomsoft iOS Forensic Toolkit 可以提取钥匙串项目,包括受 ThisDeviceOnly 属性保护的钥匙串项目,从而使调查人员能够访问高度敏感的数据,例如网站和其他资源(以及在许多情况下,Apple ID)的登录/密码信息。
Elcomsoft 取证工具包系列: Elcomsoft Forensic Disk Decryptor 加密磁盘解密工具
sanyuan7783的博客
02-19 1701
Elcomsoft Forensic Disk Decryptor 软件支持即时访问存储在加密的 BitLocker、FileVault 2、PGP Disk、TrueCrypt 和 VeraCrypt 磁盘和容器的数据。该工具从 RAM 镜像、休眠和页面文件提取加密密钥,或使用纯文本密码或托管密钥来解密存储在加密容器的文件和文件夹,或将加密卷挂载为新的驱动器号,以便即时、实时访问。
取证工作:如何在取证现场快速重置及恢复本地 Windows 账户及密码
sanyuan7783的博客
05-15 853
天津鸿萌科贸发展有限公司是 ElcomSoft 系列软件的授权代理商。软件用于在所有版本的 Windows 重置或恢复本地 Windows 帐户和 Microsoft 帐户的密码。为任何用户帐户分配管理权限,重置过期密码或导出密码哈希以进行离线恢复。创建取证磁盘镜像。提供可启动的 Windows PE 环境。支持: Windows 7, 8, 8.1, Windows 10, Windows 11;所有 Windows Server 版本;32-bit 及 64-bit 系统;
Elcomsoft 取证工具包系列:Advanced Office Password Recovery
sanyuan7783的博客
02-18 1193
天津鸿萌科贸发展有限公司是 Elcomsoft 系列软件授权代理商。Advanced Office Password Recovery 是 Elcomsoft 取证工具包密码破解软件之一。它可以恢复、删除或规避使用各种 Office 套件创建的文档的密码。可以对 WordPerfect,Lotus,OpenOffice,Apple iWork 和 Hangul Office 格式的 Microsoft Office 文档和文件进行密码破解。
Elcomsoft Distributed Password Recovery: 恢复多种文件及应用密码
sanyuan7783的博客
05-16 547
Elcomsoft Distributed Password Recovery 软件支持多种应用程序和文件格式,允许从 Office 文档、Adobe PDF 文件、PGP 磁盘和档案、个人安全证书和交换密钥、MD5 哈希值和 Oracle 密码、Windows 和 UNIX 登录密码恢复密码。HFS/HFS+ 及 APFS。带256位加密的PDF文件。带256位加密的PDF文件。带128位加密的PDF文件。带40位加密的PDF文件。带40位加密的PDF文件。BitLocker 及。及VeraCrypt。
对Apple Watch的取证分析(续)
systemino的博客
07-10 2407
在过去几年,智能可穿戴设备的使用显著增加。2018年智能手表销量达1.41亿部,智能可穿戴设备销量同比增长近一倍。在激烈的市场竞争,Apple Watch占据了主导地位,2018年可穿戴设备销量超过2250万台,占据了全球市场近一半的份额。 从2015年开始,苹果总共生产了五种不同型号的WatchOS。WatchOS是一款基于iOS的可穿戴操作系统,专门为Apple Watch开发。 20...
取证工作:怎样解锁 LUKS2 加密磁盘?
sanyuan7783的博客
06-27 935
鸿萌是 ELCOMSOFT 系列取证软件的国区代理,致力于为具有取证资质的机构提供高效、安全且便捷的数据密码恢复解决方案。目前为国内地方政府机关、保密机构等客户群提供了多起恢复解密业务成功案例并持续跟进项目指导建议,有着同行业先进和丰富的实战经验。对于 LUKS2 密码进行恢复,我们强烈推荐使用 Elcomsoft Distributed Password Recovery (简称 EDPR) 软件,它可以构建高性能集群,以更快地破解密码
ios dat 文件读写_iOS数据恢复前沿探索
weixin_39580682的博客
11-21 308
众所周知,iOS系统目前在全世界是加密度最高的系统,尤其是其独特的文件加密结构和专用的协议让数据恢复工作变得非常困难之前,知乎有这么一篇提问引起了很大关注,本人也进行了详细的回答,列举了我知道的一些方法。父亲的 iPhone 6s 和 5 都有屏锁,父亲去世,包括母亲在内的亲人都打不开怎么办?​www.zhihu.com幸运的是,也帮助了很多因各种原因导致密码停用而受困的朋友,让我更有动力去探索i...
osx和ios-security-awesome:OSX和iOS相关的安全工具
01-31
在IT行业,安全是至关重要的一个领域,尤其是在高度个性化的操作系统如Apple的OSX(现称为macOS)和iOS上。"osx和ios-security-awesome"是一个资源集合,旨在为安全专家、开发者以及对OSX和iOS系统安全感兴趣的...
Elcomsoft Forensic Disk Decrptor
09-30
Elcomsoft Forensic Disk Decrptor
iOS diskimage 12.0 11.4 11.3合并
06-21
iOS环境,diskimage通常用于取证分析,例如在犯罪调查获取iPhone的数据,或者在软件开发过程验证应用在不同iOS版本上的行为。此外,它们也可用于模拟真实设备环境,进行自动化测试或漏洞研究。 iOS disk...
ElcomSoftiOSForensicToolkit(ios设备采集软件)v5.0免费安装版
08-05
Elcomsoft iOS Forensic Toolkit是一款可以帮助您采集信息的软件,主要针对iOS设备采集,大家都知道iOS是国外的系统,使用这个系统的设备是非常多的,如果您需要对该设备进行物理采集以及逻辑采集,可以通过这款同样...
【uniapp-ios】App端与webview端相互通信的方法以及注意事项
菜菜的博客
07-08 368
本文描述的uniapp开发的app端和web端通信问题
秒验 iOS端授权页添加自定义按钮
apkkkk的博客
07-05 230
基于一键登录的拉起授权页面功能,如果想要在我们的授权页面添加自定义组件,例如使用其他方式登录的按钮,来实现其他方式登录功能,为用户呈现更多选择登录的方式。
iOS 开发者的 Flutter 入门课
最新发布
侯仕奇的博客
07-08 447
作为一名 iOS 开发者,入门 Flutter 需要了解一些新的工具和概念,但也能利用你已有的知识和技能。以下是一个详细的入门指南,帮助你快速上手 Flutter
封装了一个仿照抖音效果的iOS评论弹窗
liubo的博客
07-07 476
开发一个类似抖音评论弹窗交互效果的弹窗,支持滑动消失,滑动查看评论效果如下图。
elcomsoft wireless security auditor
03-16
Elcomsoft Wireless Security Auditor是一款用于测试和评估无线网络安全性的软件。它可以帮助用户发现无线网络漏洞和弱点,并提供相应的解决方案。该软件支持多种加密算法,包括WPA/WPA2-PSK、WEP和802.11i。用户可以使用它来测试自己的无线网络,以确保其安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

鸿萌数据安全

你的鼓励将是我创作的巨大动力!

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值