В предновогоднем обновлении Elcomsoft iOS Forensic Toolkit 8.51 исправлены некоторые проблемы с разблокировкой и извлечением данных из 32-разрядных устройств, улучшена совместимость низкоуровневого извлечения через checkm8 и внесён ряд мелких исправлений и улучшений.

В последнем в этом году обновлении iOS Forensic Toolkit исправлен ряд проблем, с которыми столкнулись наши пользователи в процессе работы с 32-разрядными устройствами Apple. Кроме того, мы улучшили работу механизма низкоуровневого доступа checkm8, добавив совместимость с 16.7.3 и 16.7.4 для тех устройств, на которых они поддерживаются.

Улучшена поддержка 32-разрядных устройств

При работе с некоторыми старыми устройствами возникали ошибки загрузки и разблокировки, которые в данном обновлении были исправлены. Кроме того, мы исправили работу алгоритма Perfect HFS Acquisition для устройств с многочисленными переадресованными блоками, которые время от времени встречаются при исследовании некоторых старых моделей iPhone.

Улучшения агента-экстрактора

Агент-экстрактор – мощный инструмент для низкоуровневого извлечения файловой системы и расшифровки связки ключей. Для работы агента требуется эскалация привилегий, для чего, в свою очередь, используется цепочка эксплойтов. К сожалению, надёжность работы некоторых эксплойтов в некоторых специфических ситуациях оставляет желать лучшего. Мы постоянно работаем над повышением надёжности используемых в агенте эксплойтов. В текущем обновлении нам удалось заметно уменьшить вероятность возникновения ошибки “kernel panic” при использовании агента.

Другие обновления

Извлечение на низком уровне – несомненно, предпочтительный способ исследования устройств Apple. В то же время низкоуровневое извлечение доступно далеко не для всех устройств. Существующими низкоуровневыми методами не поддерживаются новые модели iPhone и любые устройства, работающие под управлением последних версий iOS, включая iOS 17, над добавлением поддержки которой мы ведём активную работу. Для таких устройств используется технология расширенного логического анализа. В текущем обновлении мы внедрили несколько улучшений и в этот механизм, сделав статус извлечения более понятным, а полную и подробную информации об устройстве – доступной в виде файла, который можно использовать в экспертизе.

iOS Forensic Toolkit – надёжный помощник экспертов и криминалистов

iOS Forensic Toolkit – самый продвинутый инструмент для извлечения данных из устройств с iOS. Продукт доступен для трёх основных платформ (Windows, Linux и macOS) и поддерживает все существующие способы доступа к данным, включая расширенный логический анализ и низкоуровневое извлечение посредством агента-экстрактора. В редакциях для Linux и macOS доступен вариант извлечения через эксплойт загрузчика.

Новое в iOS Forensic Toolkit 8.51:

• checkm8: добавлена поддержка iOS 16.7.3 и 16.7.4
• Агент-экстрактор: улучшена стабильность работы (исправлены ошибки «kernel panic»)
• 32-разрядные устройства: исправлена проблема с загрузкой и разблокировкой некоторых старых устройств
• 32-разрядные устройства: улучшена поддержка устройств с многочисленными переадресо-ванными блоками
• Исправлено перенаправление консольного вывода команды «info» (с ключами «-a» и «-s»)
• Улучшение: улучшен вывод информации о прогрессе создания резервной копии устройства