Elcomsoft iOS Forensic Toolkit - специализированное программное обеспечение, предназначенное для криминалистического исследования устройств на основе Apple iOS. iOS Forensic Toolkit позволяет экспертам правоохранительных органов производить сбор информации и проводить судебные и компьютерно-технические экспертизы устройств iPhone,iPad и iPod производства компании Apple, работающих под управлением iOS версий 3.x, 4.x и iOS 5.0.

С помощью iOS Forensic Toolkit возможно получить полный доступ к информации, хранящейся в поддерживаемых устройствах. Продукт обеспечивает целостность и неизменность исследуемых данных. С помощью iOS Forensic Toolkit специалисты могут получить доступ к расшифрованному образу файловой системы устройства, расшифровать коды, пароли и прочую защищённую информацию. Доступ к основному массиву данных осуществляется мгновенно, в реальном времени.

Доступно больше информации, чем хранится в резервных копиях iPhone

iOS Forensic Toolkit открывает доступ ко всей информации, хранящейся в устройствах iPhone/iPad/iPod. С помощью снятия физического образа устройства обеспечивается доступ к гораздо более широкому спектру данных по сравнению с методом расшифровки резервных копий. Расшифровываются такие данные, как пароли к сайтам, SMS, электронная почта, логины и пароли к программам.

Среди криминалистически важных данных содержится такая информация, как географическое положение устройства в каждый момент времени, карты и маршруты, рассчитанные с помощью Google Maps, история посещений интернет ресурсов, а также практически вся информация, набранная на устройстве с помощью виртуальной клавиатуры.

Гарантия целостности и неизменности данных

Доступ к данным и работа с устройствами обеспечивается без изменения их содержимого. Гарантируются аутентичность и неизменность полученной информации.

Расшифровка данных «на лету»

В отличие от ранее используемых методов расшифровки, Elcomsoft iOS Forensic Toolkit работает с устройством напрямую, что позволяет расшифровывать данные «на лету». При наличии исследуемого устройства становится возможным извлечь из устройства оригинальные ключи, с помощью которых были зашифрованы данные. С помощью этих ключей расшифровка осуществляется в реальном времени – практически мгновенно.

Среднее время снятия образа с 32-гигабайтной версии устройства составляет 20-40 минут. Устройства с большим количеством памяти потребуют пропорционально больше времени.

Одним из немногих исключений является пароль, используемый при включении устройства. Восстановление этого пароля по-прежнему осуществляется полным перебором или методом словарной атаки.

Восстановление данных системного хранилища (keychain)

Elcomsoft iOS Forensic Toolkit предоставляет криминалистам полный доступ к информации, хранящейся в защищённом системном хранилище (keychain). В системном хранилище записываются такие данные, как логины и пароли к сайтам, почте, программам и прочим ресурсам.

Работа без пароля на включение устройства

Elcomsoft iOS Forensic Toolkit работает как с использованием пароля на включение устройства, так и без оного. В последнем случае возможны некоторые ограничения в случае работы с системами iOS 4.x и 5.0.

iOS 1.x-3.x: пароль на включение не требуется и не используется. Расшифровываются все данные без исключения. Собственно пароль на включение восстанавливается мгновенно.

iOS 4.x/5.0: : часть информации защищена ключами, зависящими от пароля на включение. В частности, следующие данные не могут быть расшифрованы без наличия точного пароля:

Сообщения электронной почты;

Информация из системного хранилища (keychain), включая логины и пароли к сайтам;

Данные некоторых сторонних программ и приложений в случае использования ими сильного шифрования.

Восстановление пароля на включение в iOS 4.x и 5.0

С помощью Elcomsoft iOS Forensic Toolkit можно восстановить точный пароль на включение устройства. В случае с iOS 4.x/5.0 доступен метод полного перебора, с помощью которого 4-значные цифровые пароли восстанавливаются за 20-40 минут. Более сложные пароли также могут быть восстановлены, однако потребуется больше времени.

Поддержка депонированных ключей

С помощью депонированных ключей (escrow file) возможна расшифровка защищённых данных и без знания пароля на включение устройства. Файлы депонированных ключей создаются на любом компьютере, к которому устройство подключалось с целью синхронизации.

Совместимые устройства и платформы

iOS Forensic Toolkit поддерживает следующие устройства, работающие под управлением системы iOS:

iPhone 3G

iPhone 3GS

iPhone 4 (GSM и CDMA модели)

iPod Touch (все поколения)

iPad (только 1-е поколение)

Поддерживаемые операционные системы:

iPhone OS (iOS 3.x) – вплоть до версии iOS 3.1.3

iOS 4.x – вплоть до версии iOS 4.3.5 (до версии iOS 4.2.10 для iPhone 4 CDMA)

iOS 5

Системные требования

iOS Forensic Toolkit для Mac OS X работает на компьютерах Mac с архитектурой процессоров Intel. Поддерживается система OS X 10.6 (Snow Leopard) либо Mac OS X 10.7 (Lion). Требуется установка iTunes 10.2 или более поздней версии.

Версия для Microsoft Windows работает на компьютерах под управлением Windows XP, Vista и Windows 7. Требуется установка iTunes 10.2 или более поздней версии.

Работа программы и в других версиях Windows и Mac OS X возможна, но не гарантируется.