Elcomsoft iOS Forensic Toolkit是Elcomsoft公司的一款针对IOS系统的取证工具。
主要功能如上图所示:
1、进入dfu模式,这个是手工操作,它只是引导你去做。
2、加载RamDisk,针对iPhone4之前的手机用的。
3、破解锁屏密码。
4、获取keys.plist文件,里面保存了keychain和系统加密密钥。
5、解析keychain,该keychain与OSX系统中的钥匙串类似,保存着密码信息。(IOS keychain破解)
6、获取磁盘镜像。
7、解密镜像。
8、获取TAR打包的文件夹。
9、重启。
Elcomsoft官网上的说明非常简单,其实面对具体情况还是有很多区别的:
1、iPhone3G、iPhone3GS、iPhone4、iPad1、iTouch1-4,支持所有功能,需要进入DFU模式。
2、iPhone4S-iPhone5C、iTouch5、iPad2-4、iPad mini,特定IOS版本,越狱过的,支持所有功能。
3、iPhone5S-iPhone6S、iPad mini2-4、iPad Air1-2、iPad pro,特定IOS版本,越狱过的,支持获取TAR打包的文件夹。
可参见下图:
iPhone4S以上,需要越狱的,需要特定的越狱工具,版本仅支持:
IOS有锁屏密码的版本信息查看方法:有屏幕锁查看IOS版本的小技巧
目前支持到 IOS 9.0.2。
使用非常简单:
有Toolkit和Toolkit-JB两个,分别针对未越狱和已越狱的,区别在于,iPhone4以及以前的,未越狱的要进入DFU模式然后加载RamDisk,然后其他操作完全一样,以Toolkit-JB为例:
1、连上手机后选择3破解锁屏密码。
注意,如果是用针对越狱过的手机,手机上一定要安装Open SSH否则会报错,无法通信。
2、此时会让你输入手机root密码,默认都是alpine。
3、选择操作
(1)现实密码类型,是简单密码还是复杂密码
(2)破解4位简单密码
(3)字典攻击
(4)自定义模式
我试了下探测密码类型,提示是4位简单密码。
4、我测试的时候密码用的1234,很快就出来了。
5、接下来获取加密密钥文件keys.plist。
keys.plist文件保存着Apple ID和密码、加密密钥等信息。
6、解析keychain,就不展示了,全都是帐号密码,太敏感。
7、获取镜像文件。
System是系统区,没啥用,取User区就可以了,然后就是等,取完后会有提示,此时的镜像文件是加密的,还需要用keys.plist文件来解密。
8、解密镜像文件。
解密完成后的镜像文件就可以使用x-ways加载查看,或者使用DC4500、Oxygen、UFED等工具分析了。
包括邮件内容都有哦~
官方说明书:iOS Forensic Toolkit
发表评论