Was this page helpful?

iphone data protection

內容表格
沒有標頭

/ramdisk/restore.external.c 
 

- iPod Touch 3G: http://appldnld.apple.com/iPhone4/061-8360.20111012.New3w/iPod3,1_5.0_9A334_Restore.ipsw  n18
- iPod Touch 4G: http://appldnld.apple.com/iPhone4/061-9622.20111012.Evry3/iPod4,1_5.0_9A334_Restore.ipsw      n81
- iPhone 3GS: http://appldnld.apple.com/iPhone4/041-8356.20111012.SQRDT/iPhone2,1_5.0_9A334_Restore.ipsw   n88
- iPhone 4 (GSM - AT&T): http://appldnld.apple.com/iPhone4/041-8358.20111012.FFc34/iPhone3,1_5.0_9A334_Restore.ipsw   n90
- iPhone 4 (CDMA - Verizon): http://appldnld.apple.com/iPhone4/041-9743.20111012.vjhfp/iPhone3,3_5.0_9A334_Restore.ipsw  n92
- iPad 1: http://appldnld.apple.com/iPhone4/041-8357.20111012.DTOrM/iPad1,1_5.0_9A334_Restore.ipsw  k48


iphone 3  n82
 

 



以下為IOS 取證筆記
電話本 http://yogeshd.blog.com/2011/04/10/v...sqlitedb-file/
SMS http://riactant.wordpress.com/2009/0...y-for-windows/


http://isohunt.com/torrents/?iht=-1&ihq=xcode+4.2 

解完 KEYChian  請入名稱 (自動抓UID + time +  連同名稱寫入資料庫檔) =新增專案 的功能視窗跟舊版
資料庫檔 包含 UID ,時間, 名字:

deeper undelte anaylzer 

最下面增加  關於程式 About


一打開 裝


1.用JB exploit  改變bootloader 啟動特製ramdisk

2.暴力破解IOS  密碼

3.取出重要keychain 與原資料區整合

4.鏡像整個IOS

5.解 HFS 加密image 

6.恢復HFS 檔案

原code 參考
http://code.google.com/p/iphone-data...on/wiki/README

如果要用OS X VM 請在這下載
http://kuai.xunlei.com/d/WMSBPYFNTZVX
密碼 HELLOWORLD
user 跟root password 都為9個s

ios ipsw和另外一個opensources專案下載參考點
https://github.com/KatanaForensics/LanternLite

 

 

修改

   暴力破解IOS  密碼 (輸出GUI密碼)
   鏡像整個IOS

   會先check usb python 是否有正常 掛載  

     此選項還是保留為optoion
 

python python_scripts/emf_decrypter.py image.img 此py 因為編碼問題需要關掉 print out 進度

 工作目錄都以UID 為主
 

1.語言切換

2. Jailbreak 掛載

3.  破解密碼 

指令:demo_bruteforce.py

視窗顯示 "本機密碼為:                            確定    "
               (沒有密碼就密碼)

4.  做鏡像檔
指令:

IOS 4 /dev/rdisk0s2s1
ssh -p 2222 root@localhost  dd  if=/dev/rdisk0s2s1    bs=8192  | dd of=image.img

IOS 5
ssh -p 2222 root@localhost  dd  if=/dev/rdisk0s1s2     bs=8192  | dd of=image.img


視窗顯示 

                   "ios 4 or ios5"
                   "請在終端機輸入密碼:alpine"
                  "顯示 100%"
                  "完成鏡像 此檔案為encrypted.img        確定"    "

5.
   作用: 解密檔 image 檔 ,image 還原檔 存放UID目錄 

    視窗顯示         " 這隻手機keychian 密碼已存檔     確定"   "      
   
6. IOS 鏡像解密 emf_decrypter  從image file 掃描被刪檔案
     視窗顯               "處理中"
                              "已完成IOS 映像檔解密  原始image 檔為encrypted.img, 解密檔為decrypted.img     確定"  

7  .恢復被刪檔案  EMF undelter 

                               "處理中"
                              " 被刪檔案已在 \UID\junk and \UID\undeltere 目錄底下         確定""

8.強力恢復被刪檔案 EMF undelte (改成catving empty space)

                                                      " 被刪檔案已在 \UID\junk and \UID\advance undeltere 目錄底下         確定""



9. USB SSH mount掛載
    "已開啟ios 裝置 SSH Port  ,請使用本機 port :2222 連線             確定"

延伸功能
1.破解備份檔
2.輸出通訊錄 輸出簡訊
3.穿

此OS X 要先裝xcode 套件

此套件也要安裝 http://mercurial.berkwood.com/
10.7 載點  http://mercurial.berkwood.com/binari...macosx10.7.zip
10.6 載點 http://mercurial.berkwood.com/binari...macosx10.6.zip
 

以下藍色要注意檔案位置跟名稱 .

 

準備套件環境 
sudo -s
此OS X VM root密碼9個s
curl -O http://networkpx.googlecode.com/files/ldid
chmod
+x ldid
sudo mv ldid
/usr/bin/

#install OSXFuse for img3fs 安裝osxfuse 套件
curl
-O -L https://github.com/downloads/osxfuse/osxfuse/OSXFUSE-2.3.4.dmg
hdiutil mount OSXFUSE
-2.3.4.dmg
sudo installer
-pkg /Volumes/FUSE\for\ OS\ X/Install\ OSXFUSE\2.3.pkg -target /
hdiutil eject
/Volumes/FUSE\for\ OS\ X/

# 安裝python 的解密模組
sudo ARCHFLAGS
='-arch i386 -arch x86_64' easy_install pycrypto
sudo easy_install M2crypto construct progressbar
#準備RAM disk 製作

hg clone https://code.google.com/p/iphone-dataprotection/ 
cd iphone
-dataprotection

make
-C img3fs/

curl
-O -L https://sites.google.com/a/iphone-dev.com/files/home/redsn0w_mac_0.9.9b8.zip
unzip redsn0w_mac_0
.9.9b8.zip
cp redsn0w_mac_0
.9.9b8/redsn0w.app/Contents/MacOS/Keys.plist .

python python_scripts
/kernel_patcher.py IOS5_IPSW_FOR_YOUR_DEVICE


sh
./make_ramdisk_n88ap.sh (這邊要注意 不同的規格 ram disk 會生出不同make ramdisk的.sh 並且 kernelcache.release.nxx.patched不同)

 

redsn0w -i IOS5_IPSW_FOR_YOUR_DEVICE -r myramdisk.dmg -k kernelcache.release.n88.patched
#將usb port iphone 轉為本地port 
python usbmuxd-python-client/tcprelay.py -t 22:2222 1999:1999
可新增終端視窗
#現在ios 裝置 SSH  為 localhost:2222. 測試ios裝置是否與有連通
ssh -p 2222 root@localhost
若需要密碼則為alpine
測試連線無誤請按ctrl-z 跳出 

 

#暴力破解密碼指令
python python_scripts/demo_bruteforce.py

#將keychain整合 可看到帳號密碼  UDID 為目錄名稱
python python_scripts/keychain_tool.py -d UDID/keychain-2.db UDID/DATAVOLUMEID.plist

 

#鏡像指令
ssh -p 2222 -oStrictHostKeyChecking=no -oUserKnownHostsFile=/dev/null root@localhost "dd if=/dev/rdisk0s2s1  bs=8192 || dd if=/dev/rdisk0s1s2  bs=8192"  >image.img
 

#將加密HFS System解開
python python_scripts
/emf_decrypter.py image.img #恢復被刪檔案 python python_scripts/emf_undelete.py image.img

Windows  下需要軟體

若沒有安裝ituens 需裝裝下面軟體

32 位元裝 applemobiledevicesupport

64位元裝applemoviledvicesupport64

安裝python2.7 套件
http://www.python.org/ftp/python/2.7/python-2.7.msi

安裝下面套件
http://www.slproweb.com/download/Win...SSL-0_9_8t.exe
http://www.voidspace.org.uk/download...in32-py2.7.zip

QT (不一定要裝)
http://www.riverbankcomputing.co.uk/...-gpl-4.9-1.exe

python 模組套件
http://www.osslab.com.tw/@api/deki/f...e-packages.rar
解出來要放到  /python27/lib/site-packages

下載hack ios python  code
http://www.osslab.com.tw/@api/deki/f...0/=hackios.rar

直接打 hack ios python  code   
比如說

tcprelay.py -t 22:2222 1999:1999

就可

安裝 cygwin +ssh 套件

ssh -p 2222 root@localhost  dd if=/dev/rdisk0s2s1 bs=8192  | dd of=iphone-root.img
會在cygwin home目錄下..

ssh -p 2222 root@localhost dd if=/dev/rdisk0s2s1 bs=8192 | dd of=iphone-user.img


putty -ssh -P 2222 root@localhost -pw alpine  dd if=/dev/rdisk0s2s1 bs=8192  | dd of=iphone-user.img

dd of=/HardDriveBackup.img | putty -ssh -P 2222 root@localhost -pw alpine  dd if=/dev/rdisk0s2s1
 

dd if=/dev/rdisk0s2s1 bs=8192 | ssh root@localhost 'dd of=iphone-dump.img'



  iphone 4s , ipad2 處理方式
1.先看看cyndia 有沒有安裝sshd
    (能不用先裝最好) 
2.連接usb  port
3.執行

tcprelay.py -t 22:2222 1999:1999

4.用ssh 如putty 測試

ssh -p 2222 root@localhost
若需要密碼則為alpine

 

#暴力破解密碼指令
demo_bruteforce.py

#將keychain整合 可看到帳號密碼  UDID 為目錄名稱
keychain_tool.py -d UDID/keychain-2.db UDID/DATAVOLUMEID.plist

 

就可

安裝 cygwin +ssh 套件


ios 3 /dev/rdisk0s2.
 

 

IOS 4 /dev/rdisk0s2s1
ssh -p 2222 root@localhost  dd  if=/dev/rdisk0s2s1    bs=8192  | dd of=image.img

IOS 5
ssh -p 2222 root@localhost  dd  if=/dev/rdisk0s1s2     bs=8192  | dd of=image.img

會在cygwin home目錄下..可做iphone4s 鏡像

Was this page helpful?
標籤 (Edit tags)
  • No tags

文件 8

文件大小日期附件上傳者 
 cht.mo
放到lang資料夾下面
3.61 KB15:34, 9 Apr 2012ios動作
 hackios.rar
無描述
200.48 KB22:03, 7 Feb 2012thx動作
 ios.css
ios.exe
8.36 MB16:24, 9 Apr 2012ios動作
ios.py
20120409
18.91 KB15:34, 9 Apr 2012ios動作
 messages.po
可以用 poedit 編輯,存檔編譯後改名成cht.mo 放到lang資料夾下面
4.57 KB15:34, 9 Apr 2012ios動作
 restored_external.c
無描述
9.31 KB20:38, 14 Jul 2012thx動作
site-packages.rar
無描述
415.73 KB18:36, 8 Feb 2012thx動作
 Undelete_deep.py
放置跟ios.py同目錄即可
1742 位元23:10, 7 Apr 2012ios動作
您必須 登入 才能發佈評論。
Powered by MindTouch Core