Elcomsoft Phone Breaker 介绍及使用教程

屏幕快照 2015-12-30 下午6.20.16

Elcomsoft Phone Breaker是Elcomsoft公司的一款手机取证工具,有Windows和MAC版的,其中MAC版的功能弱一些,比如GPU加速功能仅有Windows版有(需要安装最新显卡驱动),破解功能仅有Windows版有。

主要功能有:

1、BlackBerry:解密备份(需要密码),暴力破解备份密码(仅windows版本有),加密sd卡解密,密码管理器(password keeper)破解。

2、Apple:解密备份(已知密码),从iCloud下载文件和备份(Apple ID帐号密码或者token),获取iCloud的token(本机或从盘挂载),解析keychain。

3、Microsoft:通过帐号密码从云端下载Windows Phone数据(短信、通讯录、记事本)。

4、破解密码:IOS备份密码,BlackBerry备份密码,BlackBerry Password Keepers,BlackBerry Wallets,BlackBerry Device。

解密备份的功能主要是搭配 Elcomsoft Phone Viewer 介绍及使用教程 使用的,用ibackupbot或者Oxygen、UFED之类的解析就没必要这个解密功能了。

 

详细功能参见下图:

屏幕快照 2015-12-30 下午6.38.42

 

一、Apple

(一)解密itunes备份。

屏幕快照 2016-01-02 下午11.24.35

功能非常简单,将带密码备份的ituen备份文件解密为不带密码的备份文件,开源代码实现见 IOS keychain破解 中提到的 iphone-dataprotection ,破解keychain的第一步就是解密备份文件,Elcomsoft Phone Breaker的这个功能相当于实现了第一步。

(二)解析keychain。

完成了iphone-dataprotection的第二个功能,解析keychain。

(三)iCloud取证。

备份解析和keychain解析没有什么可讲的,主要演示iCloud取证,这个有意思。

Elcomsoft Phone Breaker可以通过Apple ID帐号密码和Authentication tokens两种方式获取iCloud备份和文件。

1、已知Apple ID帐号密码取备份文件(也可以取文件)。

屏幕快照 2015-12-30 下午6.43.11

输入正确后结果如下

eppb5_meitu_2

可以下载整个备份文件。

此方法需要知道Apple ID帐号密码,而且如果开启了两步验证会要求二次验证

 

2、使用Authentication tokens下载文件(也可以取备份)。

屏幕快照 2015-12-30 下午6.58.00

输入tokens后可以下载iCloud上备份的文件,包括setting、mail、iCloud Drive等等。

屏幕快照 2016-01-02 下午10.23.54_meitu_1

使用Authentication tokens可以绕过两步验证的报警,完美取证。但是该功能仅在Forensic Edition也就是法证版(价格最高的那种)中提供。

 

这个Authentication tokens如何获取呢?

要提取Authentication tokens前提是它要存在,在MAC OSX系统中预装了iCloud

屏幕快照 2015-12-30 下午7.04.25_meitu_4

只要使用了,就会自动生成Authentication tokens。

Windows操作系统中则需要自行下载安装iCloud面板 下载iCloud(Windows 版) - Apple 支持 。

Elcomsoft Phone Breaker针对MAC和WIN均提供了相应的提取工具,这时又要分为两种情况,一个是当前操作系统,一个是只有镜像文件,需要挂载从盘。

以MAC系统为例:

1、当前操作系统中。

eppb2

运行Elcomsoft Token Extractor,会在~/目录生成一个icloud_token_2015-xx-xx xx/xx/xx +0000.plist文件。

eppb3

生成的plist文件打开后

eppb4_meitu_1

前面是Apple ID,后面那一串就是tokens了。

 

2、仅有硬盘镜像。

屏幕快照 2015-12-30 下午7.19.45

提供login.keychain和密码,keychain密码一般与开机密码相同(也可修改为不同),可以使用Passware或者Elcomsoft Distributed Password Recovery暴力破解,Mac OSX 密码破解文件目录 。

屏幕快照 2015-12-30 下午7.20.14_meitu_5

然后tokens就出来了~。

屏幕快照 2015-12-30 下午7.30.51_meitu_6

 

Windows系统:

1、当前操作系统中。

运行Elcomsoft Phone Password Breaker安装目录下的atex.exe文件会在C:\Users\用户名\AppData\Local\Temp目录下生成icloud_token_时间_随机数.txt,里面有iCloud的tokes,与MAC系统下类似。

2、仅有硬盘镜像。

屏幕快照 2016-01-03 上午12.07.20

输入MME token和所属用户的密码,MME token位于C:\Users\用户名\AppData\Roaming\Apple Computer\Preferences

屏幕快照 2016-01-03 上午12.00.45

然后选择master key位置,在C:\Users\用户名\AppData\Roaming\Microsoft\Protect\<SID>\目录,描述自动填上,搞定。

屏幕快照 2016-01-03 上午12.10.07

 

BlackBerry和Windows Phone等拿到手机测试过后再补充。

 

更详细的说明见官方使用说明书(英文):EPB说明书