欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

iOS越狱和物理取证指南

来源:本站整理 作者:佚名 时间:2019-07-22 TAG: 我要投稿

除非你使用GrayShift或Cellebrite服务进行iPhone取证,否则越狱是物理取证的先决条件。物理访问比其他类型的取证方式更具优势了,因此,专家和取证专家需要越狱。
为物理取证而安装越狱的程序与用于研究或其他目的的越狱有很大不同,主要区别是取证专家正在努力使设备保持离线状态,以防止数据泄漏、不必要的同步,这些问题可能会远程阻止或删除设备。
在对iOS设备进行取证时,建议执行以下步骤。
1.准备好设备并进行逻辑取证
1.1在设备上启用飞行模式:这样做是为了将设备与无线网络隔离,并切断互联网连接。
1.2确认Wi-Fi、蓝牙和移动数据切换都已关闭:最新版本的iOS允许保持或手动切换Wi-Fi和蓝牙连接,即使在飞机模式激活后也是如此。这使得iOS设备能够与Apple Watch、无线耳机和其他配件保持连接。由于在取证过程中我们不希望使用这些选项,所以需要确保禁用所有这些连接选项。
1.3解锁设备,不要删除密码:虽然你可以在不解锁手机的情况下将手机切换到飞行模式,但剩下的操作将需要解锁手机屏幕。虽然一些越狱和获取指南(包括我们自己的旧指南)可能建议你删除密码,但不要这样做。删除密码会让iOS删除某些类型的数据,比如Apple Pay交易、下载的Exchange邮件和其他一些零碎的数据。所以再强调一遍,不要删除密码。
1.4通过建立信任将设备与计算机配对(注意:需要密码!):从ios11开始,iOS设备需要密码才能与计算机建立配对关系。这意味着你需要密码才能把iPhone和你的电脑配对。如果没有结对,你就无法将越狱的IPA安装到手机上。
1.5确保你的计算机的Wi-Fi是禁用的:这个必需的步骤经常被遗忘,导致取证失败。虽然不是很明显,但我们强烈建议如果你的电脑上有Wi-Fi连接,就禁用它。如果你在计算机上启用Wi-Fi,而网络上有另一个iOS设备,iOS Forensic Toolkit可能会意外地连接到另一个设备,并且取证将失败。
1.6启动iOS取证工具包:确保iPhone和许可证加密狗都连接到计算机的USB端口。iOS取证工具包可从https://www.elcomsoft.com/eift.html获得。
1.7使用iOS取证工具包,执行逻辑获取的所有步骤:iOS取证工具包支持“高级逻辑取证”。在此过程中,你将进行新的本地备份,获取设备信息(硬件、iOS版本、已安装应用程序列表),取证崩溃日志、媒体文件和共享的应用程序数据。如果iOS设备没有备份密码,iOS Forensic Toolkit会将临时密码设置为“123”,以便访问特定类型的数据(如消息和钥匙串项)。如果配置了备份密码而你不知道,你可以在设备上重置备份密码(ios11和ios12:重置所有设置命令;),然后重复上述步骤。不过,由于Reset All Settings命令还会删除设备密码,你将无法访问Apple Pay交易和其他一些数据。有关说明,请参阅《如果必须重置备份密码》。
2. 准备越狱
2.1识别设备正在运行的硬件和iOS版本(iOS Forensic Toolkit > (I)nformation)。
2.2识别正确的越狱支持设备硬件和软件的组合。以下越狱可用于iOS的最新版本:iOS 12 – 12.1.2:
RootlessJB(推荐与硬件/iOS版本兼容,因为它是入侵最少的): https://github.com/jakeajames/rootlessJBiOS%2011.x%20–%2012%20–%2012.1.2;
unc0ver jailbreak(源代码可用):https://github.com/pwn20wndstuff/Undecimus;
iOS 12 – 12.1.2
Chimera jailbreak: https://chimera.sh/。
2.3确保你有一个在苹果开发者计划中注册的苹果账号(注册开发者需要缴纳年费)。使用Apple Developer Program注册的Apple帐户,可以在设备离线时侧载IPA,而无需在设备设置中手动批准签名证书(这要求设备连接到Apple服务器)。
注意:你需要一个“企业”开发人员帐户。
2.4登录你的开发人员Apple帐户并创建一个特定于应用程序的密码,所有参加苹果开发者项目的苹果账户都必须经过双重认证。由于Cydia Impactor不支持双因素身份验证,因此需要一个特定于应用程序的密码来签名并附带越狱IPA。
2.5使用Apple开发人员帐户的Apple ID和特定于应用程序的密码启动Cydia Impactor并附带越狱IPA。
注意:Cydia将提示使用哪个签名证书,从列表中选择开发人员证书。由于你已经使用开发人员帐户对IPA文件进行了签名,因此不需要在iOS设备上批准签名证书,iOS设备将保持离线状态。
2.6启动越狱并按照说明操作,注意:如果越狱提供了系统快照,我们建议创建一个系统快照。
3.越狱故障排除
现代越狱(针对iOS 10和更新版本)使用起来相对安全,因为它们不修改内核。因此,越狱设备将始终以非越狱状态启动;每次重启后都必须重新应用越狱。
越狱利用操作系统中的漏洞链来获得超级用户权限、逃离沙箱并允许执行未签名的应用程序。由于多个漏洞被连续利用,越狱过程可能会在任何时候失败。
越狱尝试第一次就失败是很正常的。如果第一次尝试失败,你可以使用以下选项进行故障排除:
3.1通过重新运行越狱应用程序重新尝试越狱。
3.2如果此操作失败,请重新启动设备,使用密码解锁,然后等待大约3分钟以允许所有后台进程启动,然后重新尝试越狱。
3.3你可能需要重复步骤2几次才能安装越狱,但是,如果在多次尝试之后上面的方法都不起作用,我们建议尝试另一种越狱工具。例如,我们统计了iOS 12.0-12.1.2中不少于五种不同的越狱工具,其中一些工具在某些硬件上提供更高的成功率。
3.4一些越狱有特定的要求,比如检查是否下载了iOS更新(如果下载了更新,则删除)。所以,越狱前请检查所附带信息。
iOS取证工具包的使用说明
如果因为任何原因你必须关闭和重启iOS取证工具包,请确保同时关闭第二个窗口(安全通道窗口)。
如果iOS取证工具包已连接到设备,但却得不到意料之中的效果,请关闭iOS取证工具包(两个窗口),并确保你的计算机没有连接到Wi-Fi网络。如果没有得到意料之中的效果,就继续禁用有线网络连接,因为你的计算机可能与其他iOS设备在同一网络上运行。
Windows: iOS取证工具包的Windows版本将尝试将取证的信息保存到安装该工具的文件夹中,虽然你可以指定自己的存储数据路径,但是将EIFT安装移动到更短的路径(例如x:\ EIFT \)可能更容易。

[1] [2]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载