Автор Неизвестен - Методическое руководство по извлечению данных из iPhone и других устройств Apple

методик, который не только поможет вам
разобраться в современной мобильной экосистеме, но и позволит извлечь ценную информацию для
анализа.
Важно отметить, что сама методика бесплатна и доступна каждому, однако упоминаемое в ней
программное обеспечение, в том числе производства нашей компании, может распространяться на
коммерческой основе. Извлечённые с помощью нашей методики данные можно далее использовать и
анализировать как в других коммерческих программах, так и при помощи бесплатных скриптов и утилит,
ссылки на которые приводятся в дополнительных материалах 1.
Настоящее методическое пособие – вовсе не о программах в чистом виде, однако без использования
специализированного ПО в современной криминалистики обойтись невозможно. В пособии мы
подробно расскажем о ряде продуктов, включая:
•

•
•

Elcomsoft Phone Breaker, использующийся для извлечения данных из облака и расшифровке
резервных копий iOS, защищённых паролем. Этот продукт – мультиплатформенный, с версиями
для Windows и macOS.
Elcomsoft Phone Viewer, в котором можно быстро просмотреть извлечённые другими нашими
продуктами данные.
iOS Forensic Toolkit – ещё один мультиплатформенный продукт, использующийся для извлечения
данных из физических устройств iOS несколькими различными способами. Версия для Windows
поддерживает расширенное логическое извлечение и низкоуровневый доступ посредством
агента-экстрактора, а в версии для macOS к этим возможностям добавляется поддержка
криминалистически чистого извлечения через эксплойт загрузчика.

Максимально возможный результат можно получить с использованием компьютера с macOS, но не стоит
чрезмерно беспокоиться об ограничениях ПО для Windows: какую-то часть из них можно обойти тем или
иным способом, и все эти способы описаны в настоящем пособии. Более того, многие возможности,
которые мы рассмотрим в этой статье, доступны как пользователям macOS, так и Windows.

1

Бесплатные утилиты, Наборы скриптов

© Элкомсофт | ред.3.3.0 | ноябрь 2023

Страница 5 из 197

2

С чего начать?

Исследование мобильного устройства начинается с его изъятия и транспортировки в лабораторию;
возможно, до попадания на стенд устройство придётся какое-то время хранить. Правильное обращение
с устройством в процессе его изъятия, хранения и транспортировки в лабораторию может упростить
последующее извлечение и анализ данных. Неверный подход может привести к таким последствиям, как
блокировка устройства или удалённое уничтожение улик.
При изъятии устройства необходимо оформить изъятие по действующим правилам, указав точное время
и состояние устройство. Коротким нажатием на кнопку питания рекомендуем проверить, заблокирован
ли экран устройства (см. ниже о предосторожностях, связанных с биометрическими датчиками).
•

Если устройство разблокировано, не допускайте блокировки экрана

Для того, чтобы не допустить блокировки экрана, отключите таймер автоблокировки в настройках
устройства: Настройки – Экран и яркость – Автоблокировка, установив значение «Никогда». Обратите
внимание: в ряде случаев эта настройка может быть недоступной (например, при использовании
внешних политик безопасности Exchange или MDM). В этом случае можно установить максимально
доступное значение, после чего имитировать активность, периодически касаясь экрана устройства в
процессе транспортировки.

2.1

Определение модели устройства

Успешный криминалистический анализ iPhone требует точной информации о том, какое именно
устройство исследуется, каким процессором оборудовано и под управлением какой версии iOS оно
работает. Рассмотрим несколько вариантов, которые помогут узнать, какой iPhone вы держите в руках,
начиная с внешних признаков и нанесённых на корпус идентификаторов и заканчивая информацией,
доступной исключительно программным способом.

2.1.1

Программный способ (рекомендуемый)

С уверенностью определить номер модели устройства можно только программным способом.
Информация о номере модели прошита в устройстве и не может быть изменена пользователем. В то же
время внешние признаки (такие, как нанесённый на корпус номер) не являются стопроцентно
надёжными: устройство могло побывать в ремонте с заменой корпуса; данные могут быть случайно или
неслучайно затёрты; наконец, повреждения и следы использования могут сделать эту --">