Методы извлечения данных из устройств на базе Apple iOS

Содержание

  1. Оборудование и программное обеспечение для подключения
  2. Какие опции выбрать на ПК
  3. Подключение в ПО «Мобильный Криминалист»
  4. Методы извлечения данных из подключенного устройства
  5. Обход пароля блокировки экрана
  6. Извлечение данных из резервных копий iTunes
  7. Извлечение данных из прочих образов
  8. Извлечение данных из облака

ПО «Мобильный Криминалист» предлагает различные методы извлечения данных из Apple iOS устройств:

  • Подключение устройства по кабелю и излечение данных напрямую. Обход пароля блокировки экрана.
  • Импорт незашифрованных резервных копий iTunes.
  • Импорт зашифрованных к резервных копий iTunes. Нахождение пароля.
  • Загрузка прочих резервных копий и образов.
  • Извлечение данных из облака iCloud.

 

1. Оборудование и программное обеспечение для подключения

  • Оригинальный USB кабель
  • «Мобильный Криминалист», установленный на ПК
  • Apple iTunes, установленный на ПК

 

2. Какие опции выбрать на ПК

  • Убедитесь, что программа Apple iTunes запустилась после установки, и в ней было принято лицензионное соглашение. Перед подключением к нашей программе закройте Apple iTunes.
  • Проверьте версию прошивки в меню устройства Настройки/Основные/Об этом устройстве и
  • убедитесь, что она поддерживается в нашей программе. Как правило, мы стараемся добавить поддержку новой версии Apple iOS практически сразу после ее выхода.
  • Убедитесь, что версия Apple iTunes поддерживается в программе «Мобильный Криминалист».
  • Мы настоятельно не рекомендуем использовать USB-хабы, а подключать устройства Apple напрямую к ПК.
  • Перед соединением с нашей программой, пожалуйста, подключите кабель к устройству и дождитесь обнаружения драйверов системой.

 

3. Подключение в ПО «Мобильный Криминалист»

После соблюдения всех вышеперечисленных инструкций, пожалуйста, запустите программу Мобильный Криминалист и нажмите кнопку «Подключить новое устройство» на панели инструментов. Дождитесь запуска Мастера извлечения данных. В нем выберите опцию «Автоматическое подключение» для автоматического нахождения устройства по кабелю и дождитесь его обнаружения:

После того, как установлено соединение, Мастер извлечения данных начнет читать данные из устройства.

 

4. Методы извлечения данных из подключенного устройства

Для устройств Apple доступно два режима извлечения данных:

Классический метод – данные из устройства извлекаются с помощью процедуры резервного копирования iTunes. Если исследуется устройство, подвергнутое джейлбрейку, то данные из него извлекаются напрямую.

Извлекаются следующие данные: Веб соединения, Журнал событий, Файловый браузер, Облачные учётные записи, Органайзер (Заметки, Календарь),  Пароли,  Сообщения, Телефонная книга,  Данные приложений и т.д.

Метод «Advanced Logical» - для извлечения данных используются особые протоколы. Этот метод рекомендуется использовать для устройств, не подвергавшихся джейлбрейку, у которых установлена опция: шифровать создаваемую резервную копию iTunes. Данным методом не извлекаются Журнал событий и Пароли.

Извлекаются следующие основные данные: Веб соединения, Медиа, Облачные учётные записи, Органайзер (Заметки, Календарь), Сообщения, Телефонная книга, Приложения. Этот метод извлекает больше данных из приложений, кэша устройства и т.д.

 

Метод «Advanced Logical» доступен для устройств с Apple устройств с операционной системой до восьмой версии. Если исследуемое устройство поддерживает данный метод, извлечение с его помощью будет предложено программой «Мобильный Криминалист» автоматически.

 

5. Обход пароля блокировки экрана

Если экран устройства Apple заблокирован PIN кодом, существует простой метод его разблокировки с помощью файла Lockdown.plist. Необходимым условием успешной разблокировки является то, что ранее данное устройство должно быть хотя бы один раз синхронизировано с компьютером владельца. В этом случае, на компьютере владельца может быть найден этот файл.

Месторасположение файла Lockdown.plist:

Windows 98/ME/2000/XP:

\Documents and Settings\All Users\Application Data\Apple\Lockdown\

Windows Vista/7:

\Users\%имя пользователя%\AppData\Roaming\Apple Computer\Lockdown\

Windows 8/10:

\ProgramData\Apple\Lockdown

 

Mac OS X:

\Users\%имя пользователя%\Library\Lockdown\

В случае, если вы пытаетесь проанализировать заблокированное устройство, вам будет предложено два метода обхода пароля блокировки:

  • ввести код блокировки вручную;
  • использовать файл plist.

Если пароль разблокировки не известен, укажите программе путь до файла Lockdown.plist.

При этом, программа «Мобильный Криминалист» попросит переподключить устройство. После чего, данные устройства будут доступны для извлечения.

Важно:

  1. Если устройство Apple было перезагружено после создания файла plist, для извлечения будут доступны только мультимедиа файлы.
  2. Если исследуется устройство Apple, подвергнутое джейлбрейку, то после его перезагрузки, для извлечения будут доступны все файлы.
  3. Файл Lockdown.plist должен быть создан не ранее 30 дней назад.

 

6. Извлечение данных из резервных копий iTunes

Альтернативным способом извлечения данных из устройств Apple, является анализ резервных копий iTunes. С помощью данного метода могут быть извлечены следующие данные: Веб соединения, Журнал событий, Файлы, Облачные учётные записи, Органайзер (Заметки, Календарь), Пароли, Сообщения, Телефонная книга, данные приложений и т.д.

Резервные копии могут быть обнаружены на компьютере владельца устройства по следующим путям:

Windows 7, 8 или 10:

Users\%имя пользователя%\AppData\Roaming\Apple Computer\MobileSync\Backup\

 Mac OS X:

~/Library/Application Support/MobileSync/Backup/

С помощью программы «Мобильный Криминалист», данные из резервных копий iTunes можно извлечь двумя способами:

Способ 1: Запустите программу «Мобильный Криминалист» и нажмите «Импорт файла» на панели инструментов. В открывшемся окне выберите каталог с резервной копией iTunes и в нём файл Manifest.plist. Нажмите кнопку «Открыть».

 

 

В открывшемся окне выберите необходимые опции и нажмите кнопку «Далее».

В следующем окне необходимо проверить правильность заданных условий извлечения и нажать кнопку «Извлечь».

Способ 2: Запустите «Мобильный Криминалист» и нажмите треугольник, расположенный слева от опции  «Импорт файла» на панели инструментов.

В выпадающем меню выберите последовательно опции: «Импорт резервной копии /образа Apple» и «Импорт резервной копии iTunes…».

В открывшемся окне выберите каталог с резервной копией iTunes и в нём файл Manifest.plist. Нажмите кнопку «Открыть». Далее, необходимо последовательно проделать шаги, описанные выше.

Если исследуемая резервная копия iTunes окажется зашифрованной, автоматически запуститься процедура расшифровки. Вы можете задать свой алгоритм подбора пароля кликнув на «Изменить алгоритм». Нажав кнопку «Стоп! Я знаю пароль», вы прервете процедуру автоматического подбора пароля. Вам будет предложено ввести пароль вручную.

Автоматический подбор пароля осуществляется модулем компании Passware. После обнаружения пароля, автоматически происходит расшифровка резервной копии и извлечения из нее данных.

 

7. Извлечение данных из прочих образов

Программа «Мобильный Криминалист» может извлечь образы из следующих иных образов:

  • незашифрованного образа DMG;
  • образа Apple Production DMG;
  • образа DMG программы XRY;
  • зашифрованного образа Elcomsoft;
  • расшифрованного образа Elcomsoft;
  • зашифрованного образа Lantern Lite;
  • расшифрованного образа Lantern Lite;
  • файловой системы tarball/zip.

 

Особенностью данного метода извлечения является то, что с его помощью можно восстановить удаленные файлы из устройства Apple (извлечением данных из DMG образов), получить доступ к кэшу устройства, извлечь исполняемые файлы, получить полный доступ к файлам приложений, извлечь иные данные, извлечение которых ограничено системой безопасности устройства (извлечением данных из DMG образов и из файловых систем tarball/zip).

 

8. Извлечение данных из облака

Еще одним альтернативным способом получения данных из устройств Apple является извлечение данных из облачного хранилища iCloud. Этим методом можно получить данные, которые невозможно извлечь, используя Классический метод извлечения программы «Мобильный Криминалист». Также этим методом можно извлечь фотографии из иных устройств, принадлежавших владельцу облачного аккаунта (извлечением фотографий из сервиса iCloud Photo Stream).

Запустите программу «Мобильный Криминалист» и нажмите «Инструменты» на панели инструментов. В открывшемся окне выберите «Мобильный Криминалист «Облачные сервисы»».

Кликните на иконку «Новое извлечение» и в появившемся окне заполните поля формы. Нажмите кнопку «Далее».

В следующем окне выберите категорию данных, которые необходимо извлечь. Кликните на кнопку «Учетные данные» и введите имя пользователя, пароль или укажите токен для извлечения данных из облачного хранилища.

Из облачного хранилища можно извлечь следующие типы данных:

  • данные приложений;
  • записи календаря;
  • контакты;
  • фотографии;
  • фотографии из сервиса iCloud Photo Stream;
  • резервные копии WhatsApp;
  • файлы из сервиса iCloud Drive.

Доступ к аккаунту пользователя в облачном хранилище можно осуществить следующими способами:

  • использовать имя пользователя или пароль, обнаруженные в памяти мобильного устройства;
  • использовать токен, обнаруженный в памяти мобильного устройства;
  • использовать токен из компьютера владельца.

 

Была ли эта статья полезной?
Пользователи, считающие этот материал полезным: 0 из 0
Еще есть вопросы? Отправить запрос

0 Комментарии

Войдите в службу, чтобы оставить комментарий.