以下為IOS 取證筆記
電話本 http://yogeshd.blog.com/2011/04/10/v...sqlitedb-file/
SMS http://riactant.wordpress.com/2009/0...y-for-windows/
1.用JB exploit 改變bootloader 啟動特製ramdisk
2.暴力破解IOS 密碼
3.取出重要keychain 與原資料區整合
4.鏡像整個IOS
5.解 HFS 加密image
6.恢復HFS 檔案
原code 參考
http://code.google.com/p/iphone-data...on/wiki/README
如果要用OS X VM 請在這下載
http://kuai.xunlei.com/d/WMSBPYFNTZVX
密碼 HELLOWORLD
user 跟root password 都為9個s
ios ipsw和另外一個opensources專案下載參考點
https://github.com/KatanaForensics/LanternLite
修改
暴力破解IOS 密碼 (輸出GUI密碼)
鏡像整個IOS
會先check usb python 是否有正常 掛載
此選項還是保留為optoion
python python_scripts/emf_decrypter.py image.img 此py 因為編碼問題需要關掉 print out 進度
工作目錄都以UID 為主
1.語言切換
2. Jailbreak 掛載
3. 破解密碼
指令:demo_bruteforce.py
視窗顯示 "本機密碼為: 確定 "
4. 做鏡像檔
指令:
IOS 4 /dev/rdisk0s2s1
ssh -p 2222 root@localhost dd if=/dev/rdisk0s2s1 bs=8192 | dd of=image.img
IOS 5
ssh -p 2222 root@localhost dd if=/dev/rdisk0s1s2 bs=8192 | dd of=image.img
視窗顯示
"ios 4 or ios5"
"請在終端機輸入密碼:alpine"
"顯示 100%"
"完成鏡像 此檔案為encrypted.img 確定" "
5.
作用: 解密檔 image 檔 ,image 還原檔 存放UID目錄
視窗顯示 " 這隻手機keychian 密碼已存檔 確定" "
6. IOS 鏡像解密 emf_decrypter 從image file 掃描被刪檔案
視窗顯 "處理中"
"已完成IOS 映像檔解密 原始image 檔為encrypted.img, 解密檔為decrypted.img 確定"
7 .恢復被刪檔案 EMF undelter
"處理中"
" 被刪檔案已在 \UID\junk and \UID\undeltere 目錄底下 確定""
8.強力恢復被刪檔案 EMF undelte (改成catving empty space)
" 被刪檔案已在 \UID\junk and \UID\advance undeltere 目錄底下 確定""
9. USB SSH mount掛載
"已開啟ios 裝置 SSH Port ,請使用本機 port :2222 連線 確定"
延伸功能
1.破解備份檔
2.輸出通訊錄 輸出簡訊
3.穿
此OS X 要先裝xcode 套件
此套件也要安裝 http://mercurial.berkwood.com/
10.7 載點 http://mercurial.berkwood.com/binari...macosx10.7.zip
10.6 載點 http://mercurial.berkwood.com/binari...macosx10.6.zip
以下藍色要注意檔案位置跟名稱 .
準備套件環境 sudo -s 此OS X VM root密碼9個s curl -O http://networkpx.googlecode.com/files/ldid
chmod +x ldid
sudo mv ldid /usr/bin/
#install OSXFuse for img3fs 安裝osxfuse 套件
curl -O -L https://github.com/downloads/osxfuse/osxfuse/OSXFUSE-2.3.4.dmg
hdiutil mount OSXFUSE-2.3.4.dmg
sudo installer -pkg /Volumes/FUSE\for\ OS\ X/Install\ OSXFUSE\2.3.pkg -target /
hdiutil eject /Volumes/FUSE\for\ OS\ X/
# 安裝python 的解密模組
sudo ARCHFLAGS='-arch i386 -arch x86_64' easy_install pycrypto
sudo easy_install M2crypto construct progressbar
#準備RAM disk 製作 hg clone https://code.google.com/p/iphone-dataprotection/
cd iphone-dataprotection
make -C img3fs/
curl -O -L https://sites.google.com/a/iphone-dev.com/files/home/redsn0w_mac_0.9.9b8.zip
unzip redsn0w_mac_0.9.9b8.zip
cp redsn0w_mac_0.9.9b8/redsn0w.app/Contents/MacOS/Keys.plist .
python python_scripts/kernel_patcher.py IOS5_IPSW_FOR_YOUR_DEVICE
sh ./make_ramdisk_n88ap.sh (這邊要注意 不同的規格 ram disk 會生出不同make ramdisk的.sh 並且 kernelcache.release.nxx.patched 會不同)
redsn0w -i IOS5_IPSW_FOR_YOUR_DEVICE -r myramdisk.dmg -k kernelcache.release.n88.patched
#將usb port iphone 轉為本地port python usbmuxd-python-client/tcprelay.py -t 22:2222 1999:1999 可新增終端視窗 #現在ios 裝置 SSH 為 localhost:2222. 測試ios裝置是否與有連通 ssh -p 2222 root@localhost 若需要密碼則為alpine 測試連線無誤請按ctrl-z 跳出
#暴力破解密碼指令 python python_scripts/demo_bruteforce.py #將keychain整合 可看到帳號密碼 UDID 為目錄名稱 python python_scripts/keychain_tool.py -d UDID/keychain-2.db UDID/DATAVOLUMEID.plist
#鏡像指令
ssh -p 2222 -oStrictHostKeyChecking=no -oUserKnownHostsFile=/dev/null root@localhost "dd if=/dev/rdisk0s2s1 bs=8192 || dd if=/dev/rdisk0s1s2 bs=8192" >image.img
#將加密HFS System解開
python python_scripts/emf_decrypter.py image.img #恢復被刪檔案 python python_scripts/emf_undelete.py image.img
Windows 下需要軟體
若沒有安裝ituens 需裝裝下面軟體
32 位元裝 applemobiledevicesupport
64位元裝applemoviledvicesupport64
安裝python2.7 套件
http://www.python.org/ftp/python/2.7/python-2.7.msi
安裝下面套件
http://www.slproweb.com/download/Win...SSL-0_9_8t.exe
http://www.voidspace.org.uk/download...in32-py2.7.zip
QT (不一定要裝)
http://www.riverbankcomputing.co.uk/...-gpl-4.9-1.exe
python 模組套件
http://www.osslab.com.tw/@api/deki/f...e-packages.rar
解出來要放到 /python27/lib/site-packages
下載hack ios python code
http://www.osslab.com.tw/@api/deki/f...0/=hackios.rar
直接打 hack ios python code
比如說
tcprelay.py -t 22:2222 1999:1999
就可
安裝 cygwin +ssh 套件
ssh -p 2222 root@localhost dd if=/dev/rdisk0s2s1 bs=8192 | dd of=iphone-root.img
會在cygwin home目錄下..
ssh -p 2222 root@localhost dd if=/dev/rdisk0s2s1 bs=8192 | dd of=iphone-user.img
putty -ssh -P 2222 root@localhost -pw alpine dd if=/dev/rdisk0s2s1 bs=8192 | dd of=iphone-user.img
dd of=/HardDriveBackup.img | putty -ssh -P 2222 root@localhost -pw alpine dd if=/dev/rdisk0s2s1
dd if=/dev/rdisk0s2s1 bs=8192 | ssh root@localhost 'dd of=iphone-dump.img'
iphone 4s , ipad2 處理方式
1.先看看cyndia 有沒有安裝sshd
(能不用先裝最好)
2.連接usb port
3.執行
tcprelay.py -t 22:2222 1999:1999
4.用ssh 如putty 測試
ssh -p 2222 root@localhost 若需要密碼則為alpine
#暴力破解密碼指令 demo_bruteforce.py #將keychain整合 可看到帳號密碼 UDID 為目錄名稱 keychain_tool.py -d UDID/keychain-2.db UDID/DATAVOLUMEID.plist
就可
安裝 cygwin +ssh 套件
ios 3 /dev/rdisk0s2.
IOS 4 /dev/rdisk0s2s1
ssh -p 2222 root@localhost dd if=/dev/rdisk0s2s1 bs=8192 | dd of=image.img
IOS 5
ssh -p 2222 root@localhost dd if=/dev/rdisk0s1s2 bs=8192 | dd of=image.img
會在cygwin home目錄下..可做iphone4s 鏡像