提取iOS 12.4文件体系的要领 | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

提取iOS 12.4文件体系的要领

申博_安全防护 申博 86次浏览 已收录 0个评论

iOS 12.4现在已被已逃狱,而Elcomsoft iOS取证东西包就是胜利逃狱的奇异。将二者连系运用,可以对文件体系举行映像,并解密运转大多数iOS版本的iPhone和iPad装备的钥匙串(除了iOS 12.3和最新的12.4.1,但12.4现在仍在署名)。

这类逃狱的状况比表面上看到的要庞杂很多,现在市面上只要两种差别的逃狱东西:unc0ver和Chimera。这两种逃狱东西现在都有几个迭代版本,别的,它们的版本之间的差别异常严峻。不过,另有一种东西(GeoFilza)可以在不逃狱的状况下接见某些iOS装备上的文件体系(但不能接见钥匙串)。末了,我们胜利破解了运转受影响tvOS版本的苹果电视。

在本文中,我将诠释这两种逃狱及其版本之间的区分,并供应有关不逃狱就可以接见文件体系的东西的信息,并申明如安在脱机形式下平安地逃狱。

破绽应用

苹果公司在iOS 12.4中未修复由Google Project Zero研究人员Ned Williamson在iOS 12中发明并先前在iOS 12.3中修复的SockPuppet Flaw(CVE-2019-8605 )。不过 苹果公司于2019年5月在iOS 12.3中修复了iOS和macOS中XNU内核中的破绽。

注:CVE-2019-8605 破绽(sockport)最初由 Google Project Zero 平安团队和 Google 资安工程师 Ned Williamson 配合发明,该破绽可以形成中心开释后重用(use after free)破绽,并许可恶意顺序以体系权限实行恣意代码。

该破绽存在于一切版本或iOS 11、iOS 12.0-12.2和iOS 12.4中。从A7到A11的一切苹果硬件都遭到了周全的影响,而最新的A12和A12x装备遭到了“部份影响”(影响状况请点此检察)。自那今后,这名逃狱的小伙子就发明了在一切受影响的装备上完成tfp0所需的一系列破绽,包含A12 (iPhone XS、iPhone XS Max、iPhone XR、iPad Mini(2019)、iPad Air(2019)和A12x (11英寸和12.9英寸的iPad Pro)。

2019年7月,Ned Williamson宣布了SockPuppet(内核破绽)和SockPuppet2(内核破绽),应用代码“完成kernel_task port”或task_for_pid(0) (tfp0),这是现在破解苹果装备的热点破绽。该破绽代码被jailbreak开辟人员发明,并致使unc0ver逃狱版本的宣布。

现在苹果在iOS 12.4.1中再次修复了该破绽,因而,iOS 12.3、12.3.1、12.3.2、iOS 12.4.1和iOS 13 (beta版)不受影响。

unc0ver

第一个应用该破绽的逃狱是unc0ver,现在,unc0ver在某些装备上依然是不太牢靠的逃狱东西(尤其是在运转iOS 12.4的thise上)。然则,它是最兼容的版本,由于它支撑iOS 11和iOS 12的一切版本,直到12.4,但iOS 12.3.x除外。

unc0ver是一款典范的逃狱软件,具有文件体系从新装置和Cydia软件包管理器的功用。但有一个破例:unc0ver 3.5.5充任A12和A12x装备(iPhone Xs/Xr一代)的“部份”逃狱。虽然此特定版本不会在A12(x)装备上从新加载文件体系,然则,它依然供应了一个有用的SSH保卫历程(你可以从OpenSSH和Dropbear中挑选)并接见文件体系。从某种意义上说,unc0ver 3.5.5类似于只在A12(x)装备上运用无根逃狱。因而我们推荐在A12(x)装备上运用unc0ver 3.5.5。假如你在差别的装备上运用unc0ver,可以取得最新版本的逃狱。

下载链接:https://unc0ver.dev/;

GitHub:https://github.com/pwn20wndstuff/Undecimus;

直接下载链接:unc0ver 3.5.5 (假如没法直接下载,请搜检unc0ver.dev/之前的版本)。

Chimera(iOS + tvOS)

Chimera是针对iOS 12.4宣布的第二次逃狱,Chimera来自与unc0ver差别的团队,有着差别的逃狱理念。Chimera开辟人员挑选运用新的包管理器Sileo,而不是unc0ver中的Cydia。与Cydia Substrate(unc0ver)相反,用Substitute(Chimera)打针调节剂。风趣的是,Uncyver开辟人员决定在A12和A12x装备上运用Substitute,由于Cydia Substrate很难或不可以在此硬件上运转。

Chimera下载链接:https://chimera.sh/;

包管理器的挑选和调解注入要领现实上会影响取证专家,由于:

1.文件体系要从新装置,一般来说,我们不愿望文件体系从新加载到要从中提取数据的装备上,unc0ver 3.5.5是唯一一个不从新加载文件体系的逃狱,但只适用于A12装备。

2.绑定的SSH保卫历程,我们须要SSH才衔接到装备。unc0ver可以挑选装置OpenSSH或Dropbear,看起来第一个更牢靠,Chimera运用Dropbear。

3.A12和A12x支撑(iOS 12.2, 12.4),只要unc0ver支撑A12(x)装备,Chimera在撰写本文时还没有支撑。

4. tvOS支撑,假如你正在运用Apple TV 4或4K装备,则Chimera是唯一的挑选。

5.牢靠性,正如我们所发明的,Chimera比unc0ver更牢靠。运用unc0ver,我们经常会随机重启装备,或许并非一切的文件都被复制并保存到.tar存档中,或许钥匙串没有被提取等。

因而,我们强烈发起将Chimera用于大多数装备和iOS版本,而unc0ver是运转12.2或12.4的iPhone Xr/Xs(以及第三代iPad Pro)的唯一选项,一样,我们发起运用unc0ver的3.5.5版本。还请注重,Chimera是唯一支撑运转tvOS 12的Apple TV的逃狱顺序(有关Apple TV数据剖析的更多信息,请点击此处)。

Chimera也是iOS 12.2和12.4中唯一可以用来解密钥匙串的逃狱东西。

张瑞冬:无糖信息与电信诈骗所做的斗争

张瑞冬马上30岁了。 对他来说,创业,不是计划内的事情,反电信诈骗也不是唯一的选择。 作为一名年轻的创业者,一方面,他符合90后早期叛逆、嚣张的人物画像,辍学、创办网红博客、成为黑客;另一方面,将自己的爱好发展成事业,又是他作为90后创业者身上符合这一代人价值观的一面,他所创立的无糖信息在一件颇具理想主义色彩的事业上取得了商业上的成功。 去年,DEFCON世

GeoFilza

你知道吗,纵然不逃狱也可以接见文件体系? GeoFilza是运转iOS 12.0至iOS 12.1.2的iOS装备的文件管理器,该东西由平安研究员GeoSn0w开辟。

Github: https://github.com/GeoSn0w/GeoFilza;

GeoFilza是一款iOS多功用体系文件管理器,能让你不须要逃狱就可以直接读取iOS 12原生体系文件。现实上,GeoFilza 主如果应用 voucher_swap b4 破绽实行 Filza 体系文件管理东西,当界面涌现 iOS 体系文件夹列表即示意破绽应用胜利。假如翻开时碰到卡死在全白界面,或涌现装备重启的征象,这些都是破绽应用失利致使,只需再次翻开尝试即可。固然,万万不要随便删除体系重要文件,不然可以会致使体系图标丧失或许白苹果。

GeoFilza可以应用iOS 12到12.1.2的破绽接见文件体系,而不须要逃狱。简而言之,GeoFilza是一种接见装备上锁定数据的清洁简朴的要领。然则,运用GeoFilza将数据导出到盘算机有点贫苦,不过你可以运用iCloud Drive或Dropbox。

不幸的是,GeoFilza尚不支撑iOS 12.4。

装置逃狱:颁布证书

关于逃狱的报导很多,关于用于物理提取的逃狱主题,我们已陆陆续续写了很多文章,你可以点此相识。虽然那篇博客文章异常细致地诠释了一切内容,但我以为运用开辟人员证书装置逃狱顺序的全部题目须要做一个廓清。

比方,为何我们以至须要iOS装备在逃狱时上网? 由于假如未运用受信托的证书署名,iOS将不会运转侧载应用顺序。Cydia Impactor会运用你挑选的Apple ID在你的盘算机上签订逃狱IPA。还记得“可托”部份吗?iOS依然不会运转侧载的IPA,除非你翻开设置应用顺序并“信托”署名证书。实行此操纵时,iOS将与苹果服务器举行对话,以考证署名是不是可托,这就是为何须要互联网衔接才逃狱的缘由。

逃狱的最大风险之一就是将装备暴露给外部天下,经由历程许可装备随时在线,你现实上是在许可装备同步信息,下载在装备被捕捉时不可用的数据。如许,装备就很轻易遭到挂起的长途阻挠或长途擦除敕令的影响。

为防备一切这些贫苦,在收集历程的一切阶段中使装备坚持离线状况至关重要。这有助于防备数据走漏和不必要的同步,并防备可以会长途阻挠或擦除装备的长途装备管理敕令。

这个题目有几种处理方法,一些专家设置了专用的Wi-Fi接入点以许可衔接的装备仅接见一些列入白名单的IP地点(比方ppq.apple.com)。虽然这是可行的,在装备上启用Wi-Fi,纵然只是短暂的启用,也可以会在完整衔接的状况下意外埠衔接到毛病的Wi-Fi收集。这类状况很轻易发生,由于吸收长途擦除敕令只须要很短的时候。处理要领是,一些专家将装备衔接到两个适配器链上:一个Lightning到USB适配器和一个USB到以太网适配器(或许只是Lightning到以太网)。以太网更轻易掌握,许可装备衔接到证书考证服务器,而不须要与毛病的服务器举行任何通讯。

末了,你可以运用反向Internet绑定,使iPhone可以经由历程主机衔接到收集。不过,你依然须要将证书同意所需的地点列入白名单。

有一个更轻易的方法来处理这个逆境,你可以运用开辟人员证书,而不是运用个人证书来签订逃狱IPA。开辟者证书许可侧加载的应用顺序在iPhone上运转(每一个帐户最多100个),而不须要分外考证或“信托”证书。换句话说,假如你运用开辟人员证书签订逃狱IPA,你只需点击逃狱图标,它就会马上启动。不须要证书考证,也不须要与苹果服务器对话。

取得开辟人员证书

开辟人员证书仅适用于注册的苹果开辟人员,为了成为注册的苹果开辟人员,你必需列入苹果开辟者设计。在最先注册时,请确保注册为构造。不过,各个开辟人员证书仍须要在装备上举行其他考证。你须要提交你的D-U-N-S号码并付出用度,一旦你的注册被同意,你就可以将你的苹果ID账户添加到顺序中,并用它们来签订附加到装备上的IPA文件。

然则,请注重,每当你运用开辟人员证书在新iPhone上签订逃狱IPA时,该装备就会被注册到开辟人员顺序。不过,你可以注册的iOS装备数目是有限的,请确保在提取以后将iOS装备从你的Apple Developer帐户中删除。

iOS取证东西包的提醒和技能

在我们的《 iOS逃狱和物理提取分步指南》中,我们形貌了运用Elcomsoft iOS取证东西包提取文件体系息争密钥匙串所需相识的险些一切学问。我不会在这里反复这些步骤,只提一些技能和技能,它们将协助你使提取历程越发顺畅。

1.衔接到盘算机之前,请解锁iPhone。iOS可以在USB受限形式下禁用了USB端口。假如是这类状况,电脑将没法检测到iPhone,直到你解锁它。

2.禁用Internet衔接(在两个装备上),我们一向在强调,确保正在提取的iOS装备坚持在飞机形式下,而且Wi-Fi,蓝牙和挪动数据切换均处于禁用状况。假如你依然碰到新鲜的衔接题目,请尝试从盘算机上断开iPhone的衔接,然后封闭一切EIFT终端(在Windows中,将有另一个终端窗口来坚持SSH衔接)。然后,禁用盘算机上的一切有线和无线收集,然后从新启动EIFT并反复提取。禁用盘算机上的收集衔接有助于确保盘算机与准确的装备竖立SSH连,我们曾见过EIFT衔接到房间中与专家盘算机衔接到统一接入点的随机iPhone的状况。

3.考证配对关联或运用锁定文件,假如有些东西不事情,假如某些要领不起作用,请确保已将iOS装备与你的盘算机配对(已竖立信托关联或运用了有用的配对/锁定文件)。

4.解锁iOS装备屏幕,并在猎取历程当中一向坚持解锁状况。为此,我们有“D”(禁用屏幕锁定)敕令。在解压缩文件体系或尝试解密钥匙串之前,请解锁装备并运用敕令。假如不如许做,则在提取历程当中将没法接见某些标记为“未锁定时”的项。

5.不要删除暗码!不然,你将没法接见某些范例的证据,比方Apple Pay生意业务、下载的Exchange邮件和其他一些数据。

6.运用装备暗码,当你运用iOS Forensic Toolkit提取钥匙串时,暗码提醒可以会涌现在装备上。注重这一点!并输入它。不然,钥匙串将不会提取。

而针对Windows平台的技能,请点击这里,有更多的提醒。

本文翻译自:https://blog.elcomsoft.com/2019/09/ios-12-4-file-system-extraction/


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明提取iOS 12.4文件体系的要领
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址