Jailbreak iOS 資安 行動 越獄 破解 鑑識

原生iOS防護雖不斷提升 JB後仍見系統防線洞開

本文將分別透過越獄前與越獄後之iOS裝置,進行數位鑑識工具的跡證萃取實測,分析並比較越獄對於數位跡證萃取所造成的影響。
透過iTools進行iPad mini 3之檔案備份

首先連接電腦與iPad,然後在電腦上開啟iTools,並透過選項「工具箱 > iTunes備份管理 > 建立備份」等操作步驟來建立裝置備份檔案,如圖1所示。


▲圖1 透過iTools建立裝置備份檔案。

建立備份完成後,可由介面中確認所建立之各項裝置的備份資訊,如圖2所示。如往後欲還原裝置,同樣可透過此介面中的〔從備份恢復〕選項來回復裝置資料。


▲圖2 建立完成之各項備份檔案資訊。

Elcomsoft iOS Forensic Toolkit未越獄狀態之跡證萃取程序

透過搭載Windows作業系統的電腦開啟該鑑識工具後,將出現選項表單介面,動作選項分別為1.ENTER DFU、2.LOAD RAMDISK、3.GET PASSCODE、4.GET KEYS、5.DECRYPT KEYCHAIN、6.IMAGE DISK、7.DECRYPT DISK、8.TAR FILES、9.REBOOT以及0.EXIT,如圖3所示。


▲圖3 Toolkit.cmd檔案選項表單介面。

選項1.ENTER DFU為對iOS裝置進入DFU mode進行操作指導,而在未越獄狀態下的iOS裝置,必須 先進入DFU mode才能夠使用此鑑識工具進行下一步動作。

進入DFU mode後,就會出現是否進行Load Toolkit Ramdisk的詢問提示,如圖4所示,鍵入「Y」之後開始進行裝置類型偵測。隨後,由於裝置尚未執行越獄而程序中斷,並出現操作提示,要求按下〔Enter〕返回選項表單介面,如圖5所示。


▲圖4 進行Load Toolkit Ramdisk的詢問提示。

▲圖5 由於裝置尚未越獄因而無法執行Load Ramdisk程序。

返回選項表單介面後,由選項2.LOAD RAMDISK再次嘗試進行方才無法成功執行的程序,但出現同樣因裝置尚未執行越獄而程序中斷的情況與程序中斷畫面。

依序進行選項3.GET PASSCODE,介面說明此選項功能僅支援搭載iOS 4/5/6/7版本作業系統的設備,且在執行本選項功能前,必須先完成Load Ramdisk程序,故子選項表單中的四項功能,包括1.Only show passcode type、2.Check 4-digit PINs、3.Perform a wordlist attack、4.Set custom passcode recovery parameters,均無法執行運作,如圖6所示。


▲圖6 iOS版本及工具執行程序不符。

而本實驗所使用之iPad mini 3為搭載iOS 9.0.2版本之作業系統,作業系統版本更新狀態已不符Elcomsoft iOS Forensic Toolkit的支援範圍。

接下來選項表單介面中的其餘六個項目:4.GET KEYS、5.DECRYPT KEYCHAIN、6.IMAGE DISK、7.DECRYPT DISK、8.TAR FILES、9.REBOOT,均由於iOS裝置尚未執行越獄,以至於未能完成Load Ramdisk程序或其他項目前置程序等原因,而無法成功進行數位跡證萃取工作。

執行PanGU Jailbreak for iOS9.0-9.0.2程式

執行越獄程式之前,必須先將裝置上的螢幕鎖定密碼解除,並將「尋找我的iPad」關閉。在電腦上以管理員身分執行Pangu9_v1.2.0執行檔後,即出現PanGU越獄程式介面,如圖7所示會顯示裝置名稱、作業系統等資訊,該PanGU程式支援iOS 9-9.0.2版本。


▲圖7 PanGU越獄程式介面。


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!