checkm8提取速查表:iPhone、iPad

移动安全 2个月前 admin
225 0 0
checkm8提取速查表:iPhone、iPad
checkm8提取速查表:iPhone、iPad

本文由刘志翔编译,陈裕铭、Roe校对,转载请注明。

iOS Forensic Toolkit 8.0以命令行界面,为取证提供更为完善的Checkm8提取功能。 然而,对于那些不熟悉命令行工具的人来说,掌握正确的操作流程可能仍是一个挑战。 在本篇快速入门指南中,我们将阐述如何对兼容的iPhone或iPad设备进行提取。

checkm8提取速查表:iPhone、iPad

准备工作

在开始之前, 确保您拥有执行提取所需要的一切条件。由于checkm8是一个非常特殊的漏洞, 您需要执行以下所有操作。

· 一台Mac电脑

您需要使用一台真正的Mac计算机(不是虚拟机) 安装漏洞并执行提取. 软件支持基于Intel和M1芯片的MAC电脑。

· Mac的iOS Forensic Toolkit 8

请注意,您需要该工具的Mac版本。

·支持漏洞利用的iPhone或iPad设备(完整的列表位于页面底部)

设备必须能被置于DFU模式。支持锁定和USB受限的设备。

· 锁屏密码必须已知或者为空

否则,有限的BFU提取可能可用,但通过这种方式只能获得很少的数据。

· 支持漏洞利用的iOS版本

请注意,运行iOS 16.x的iPhone设备仅对checkm8提取提供有限的帮助。

· 一条USB-A转Lightning数据线

不支持Type-C转Lightning数据线。 建议使用USB-A到Type-C适配器,更推荐使用USB集线器。

· 您必须确定iPhone上安装的iOS的确切版本和内部版本号. EIFT将尝试自动检测iOS版本和内部版本号。

注:您必须能够下载与设备上安装的iOS版本匹配的官方Apple固件(提取过程中将提供下载链接)

checkm8提取速查表:iPhone、iPad

提取iOS 15及更早版本的设备

首先,禁用设备的自动引导功能,以避免在DFU序列错误时重新启动到iOS。禁用自动引导:

如果设备已打开,请关闭设备电源。

将设备置于恢复模式并将其连接到计算机。设备屏幕应显示“连接到iTunes”。

在计算机上,执行以下命令:

./EIFT_cmd tools autobootFalse

(在使用./EIFT_cmd tools autobootTrue 归还被检查的设备之前重新启用自动引导)。

在等待模式下执行EIFT:

./EIFT_cmd boot -w

如果设备未处于恢复模式,则将其置于恢复模式。

从恢复模式中,将设备置于DFU模式。一旦设备处于DFU模式,EIFT将自动检测此设备并应用该漏洞。之后,执行以下命令:

./EIFT_cmd ramdisk loadnfcd
./EIFT_cmd ramdisk unlockdata -s
./EIFT_cmd ramdisk keychain -o {filename}
./EIFT_cmd ramdisk tar -o {filename}

在归还被检查的设备之前重新启用自动引导(注意:如果您打算继续使用该设备,请不要重新启用自动引导):

./EIFT_cmd tools autobootTrue

关闭设备电源:

./EIFT_cmd ssh halt
checkm8提取速查表:iPhone、iPad

提取iOS 16设备

首先,禁用设备的自动引导功能,以避免在DFU序列错误时重新启动到iOS。禁用自动引导:

如果设备已通电,请关闭设备电源。

将设备置于恢复模式并将其连接到计算机。设备屏幕应显示“连接到iTunes”。

在计算机上,运行以下命令:

./EIFT_cmd tools autobootFalse

(在使用 ./EIFT_cmd tools autobootTrue 归还被检查的设备之前重新启用自动启动)。

在等待模式下运行EIFT:

./EIFT_cmd boot -w

如果设备未处于恢复模式,请将其置于恢复模式。

从恢复模式,将设备置于DFU模式。一旦设备处于DFU中,EIFT将自动检测此设备并且应用该漏洞。

请注意:您需要从Apple服务器下载匹配的固件文件,或在出现提示时指定下载链接。

之后,执行以下命令:

./EIFT_cmd ramdisk unlockdata
./EIFT_cmd ramdisk keychain -o {filename}
./EIFT_cmd ramdisk tar -o {filename}

在归还被检查的设备之前重新启用自动引导(注意:如果您打算继续使用该设备,请不要重新启用自动引导):

./EIFT_cmd tools autobootTrue

关闭设备电源:

./EIFT_cmd ssh halt
checkm8提取速查表:iPhone、iPad

进入DFU模式

如果你从未尝试过,那么将设备置于DFU模式可能会比较棘手。不同设备型号进入DFU的步骤是不同的, 并且屏幕上不会显示成功进入DFU的指示。您必须在仔细观察计时的同时遵循这些步骤,最终屏幕将显示一个空白屏幕。 我们强烈建议先将设备置于恢复模式,然后从恢复模式中进入DFU模式。

iPhone 6s、6s Plus 及更早版本

步骤1:进入恢复模式

iPhone 7、iPhone 7 Plus :

· 确保设备已关机。

· 按住音量-按钮

· 继续按住按钮,将iPhone连接到计算机。

· 持续按住按钮,直到设备显示屏幕恢复。

在iPhone 6s和更早的设备上,包括iPhone SE(第 1 代):

· 确保设备已关闭电源;

· 按住Home按钮;

· 继续按住按钮,将 iPhone 连接到计算机.

· 持续按住按钮,直到设备显示屏幕恢复。

步骤2:进入DFU模式

在iPhone 6s及更早版本的裝置上,包括iPhone SE(第1代):

· 按下电源按钮(或侧边按钮)和主屏幕(触控ID)按钮并保持8秒钟。

· 松开电源(侧面)按钮; 按住Home键8秒钟。

iPhone 7和7 Plus:

· 按侧面按钮和音量-按钮并保持8秒。

· 松开侧边按钮,按住音量-并保持8秒钟。

iPhone将依然显示黑屏,如果你看到恢复屏幕或设备开始启动到iOS,请从头开始重复以上步骤。

iPhone 8、8 Plus 和 iPhone X

基于A11 仿生的设备有两种略有不同的DFU模式。 将设备置于正确的DFU模式是成功采集的关键。正确的进入恢复模式,是其必要的第一步。

步骤1:进入恢复模式

对于iPhone 8、8 Plus和iPhone X设备,请使用以下顺序:

· 确保设备已关机;

· 按住侧边按钮;

· 继续按住按钮,然后快速将iPhone连接到计算机。如果速度不够快,设备可能会开始启动序列。

· 继续按住按钮,直到设备显示屏幕恢复。

步骤2:iPhone 8、8 Plus和iPhone X设备进入DFU模式

保持iPhone与电脑的连接,然后在等待模式下启动iOS Forensic Toolkit:

./EIFT boot -w

iPhone 8、8 Plus 或 iPhone X:

· 迅速按下并释放音量+按钮;

· 迅速按下并释放音量-按钮;

· 按住侧面的按钮,直到iOS Forensic Toolkit显示出"iPhone已断开连接"。此消息表示iPhone已与计算机断开连接。

· 在按住侧边按钮的同时,按住音量-键4秒钟。

· 松开侧边按钮(继续按住音量-键)。

· iOS Forensic Toolkit会检测到iPhone处于DFU模式。一旦发生这种情况,松开音量-按钮。

注意:如果您按住按钮超过4秒,iPhone可能会重新启动而不是进入DFU模式;禁用自动引导并在提取操作前用另一个设备进行练习。

将iPhone放入DFU的其他方法

如果无法通过常规方式将设备放置在DFU中(例如,如果其中一个按钮损坏),请使用以下指南:

https://blog.elcomsoft.com/2021/09/how-to-put-an-ios-device-with-broken-buttons-in-dfu-mode/

iPad、Apple TV和iPod Touch设备的DFU步骤:

https://blog.elcomsoft.com/2021/01/dfu-mode-cheat-sheet/

Checkm8的提取需要一定程度的练习,特别是将设备置入DFU模式。 错误的DFU程序可能会将设备重新启动到iOS系统中。

在提取前用已知的正常设备练习DFU模式!

如果设备运行的是iOS 16,与旧的iOS版本相比,提取步骤将略有不同。

兼容的设备

iOS Forensic Toolkit 8支持以下型号的checkm8提取:

· iPhone 5S (iPhone6,1): A1453, A1533

· iPhone 5S (iPhone6,2): A1457, A1518, A1528, A1530

· iPhone 6 (iPhone7,2): A1549, A1586, A1589

· iPhone 6 Plus (iPhone7,1): A1522, A1524, A1593

· iPhone 6s (iPhone8,1): A1633, A1688, A1691, A1700

· iPhone 6s Plus (iPhone8,2): A1634, A1687, A1690, A1699

· iPhone SE (iPhone8,4): A1662, A1723, A1724

· iPhone 7 (iPhone9,1 и iPhone9,3): A1778, A1660, A1780, A1779, A1853, A1866

· iPhone 7 Plus (iPhone9,2 и iPhone9,4): A1784, A1661, A1785, A1786

· iPhone 8 (iPhone10,1/iPhone10,4): A1863, A1905, A1906, A1907

· iPhone 8 Plus (iPhone10,2/iPhone10,5): A1864, A1897, A1898, A1899

· iPhone X (iPhone10,3/iPhone10,6): A1865, A1901, A1902, A1903

此外,还支持以下型号:

· iPod Touch 6/7: A1574, A2178

· iPad Air 1/2: A1474, A1475, A1476, A1566, A1567

· iPad Mini 2/3/4: A1489, A1490, A1491, A1599, A1600, A1601, A1538, A1550

· iPad 5/6/7: A1822, A1823, A1893, A1954, A2197, A2198, A2200

· iPad Pro 1/2: A1584, A1652, A1670, A1671, A1673, A1674, A1675, A1701, A1709, A1821, A1852, A1934, A1979, A1980, A2013

Checkm8 提取也支持32位设备,如 iPod Touch 5、iPad 2/3/4 和 iPad Mini。但是步骤略有不同,并且有些设备需要一个额外的树莓Pi Pico板来应用该漏洞。

参考链接:

https://blog.elcomsoft.com/2022/11/checkm8-extraction-cheat-sheet-iphone-and-ipad-devices/

https://blog.elcomsoft.com/2022/11/checkm8-extraction-cheat-sheet-iphone-and-ipad-devices/#dfu

checkm8提取速查表:iPhone、iPad
checkm8提取速查表:iPhone、iPad

原文始发于微信公众号(数据安全与取证):checkm8提取速查表:iPhone、iPad

版权声明:admin 发表于 2022年12月2日 下午5:09。
转载请注明:checkm8提取速查表:iPhone、iPad | CTF导航

相关文章

暂无评论

暂无评论...