iphone data protection

    內容表格
    沒有標頭

    版本為 22:22, 26 Nov 2024

    到這個版本。

    返回到 版本存檔.

    查閱目前版本

    以下為IOS 取證筆記
    電話本 http://yogeshd.blog.com/2011/04/10/v...sqlitedb-file/
    SMS http://riactant.wordpress.com/2009/0...y-for-windows/

    解完 KEYChian  請入名稱 (自動抓UID + time +  連同名稱寫入資料庫檔)

    資料庫檔 包含 UID ,時間, 名字:

    新增專案 的功能視窗跟舊版
    選擇舊有專案 關 password crak
    砍掉舊有專案   


    一打開 裝


    1.用JB exploit  改變bootloader 啟動特製ramdisk

    2.暴力破解IOS  密碼

    3.取出重要keychain 與原資料區整合

    4.鏡像整個IOS

    5.解 HFS 加密image 

    6.恢復HFS 檔案

    原code 參考
    http://code.google.com/p/iphone-data...on/wiki/README

    如果要用OS X VM 請在這下載
    http://kuai.xunlei.com/d/WMSBPYFNTZVX
    密碼 HELLOWORLD
    user 跟root password 都為9個s

    ios ipsw和另外一個opensources專案下載參考點
    https://github.com/KatanaForensics/LanternLite

     

     

    修改

       暴力破解IOS  密碼 (輸出GUI密碼)
       鏡像整個IOS

       會先check usb python 是否有正常 掛載  

         此選項還是保留為optoion
     

    python python_scripts/emf_decrypter.py image.img 此py 因為編碼問題需要關掉 print out 進度

     工作目錄都以UID 為主
     

    1.語言切換

    2. Jailbreak 掛載

    3.  破解密碼 

    指令:demo_bruteforce.py

    視窗顯示 "本機密碼為:                            確定    "
                   (沒有密碼就密碼)

    4.  做鏡像檔
    指令:

    IOS 4 /dev/rdisk0s2s1
    ssh -p 2222 root@localhost  dd  if=/dev/rdisk0s2s1    bs=8192  | dd of=image.img

    IOS 5
    ssh -p 2222 root@localhost  dd  if=/dev/rdisk0s1s2     bs=8192  | dd of=image.img


    視窗顯示 

                       "ios 4 or ios5"
                       "請在終端機輸入密碼:alpine"
                      "顯示 100%"
                      "完成鏡像 此檔案為encrypted.img        確定"    "

    5.
       作用: 解密檔 image 檔 ,image 還原檔 存放UID目錄 

        視窗顯示         " 這隻手機keychian 密碼已存檔     確定"   "      
       
    6. IOS 鏡像解密 emf_decrypter  從image file 掃描被刪檔案
         視窗顯               "處理中"
                                  "已完成IOS 映像檔解密  原始image 檔為encrypted.img, 解密檔為decrypted.img     確定"  

    7  .恢復被刪檔案  EMF undelter 

                                   "處理中"
                                  " 被刪檔案已在 \UID\junk and \UID\undeltere 目錄底下         確定""

    8.強力恢復被刪檔案 EMF undelte (改成catving empty space)

                                                          " 被刪檔案已在 \UID\junk and \UID\advance undeltere 目錄底下         確定""



    9. USB SSH mount掛載
        "已開啟ios 裝置 SSH Port  ,請使用本機 port :2222 連線             確定"

    延伸功能
    1.破解備份檔
    2.輸出通訊錄 輸出簡訊
    3.穿

    此OS X 要先裝xcode 套件

    此套件也要安裝 http://mercurial.berkwood.com/
    10.7 載點  http://mercurial.berkwood.com/binari...macosx10.7.zip
    10.6 載點 http://mercurial.berkwood.com/binari...macosx10.6.zip
     

    以下藍色要注意檔案位置跟名稱 .

     

    準備套件環境 
    sudo -s
    此OS X VM root密碼9個s
    curl -O http://networkpx.googlecode.com/files/ldid
    chmod
    +x ldid
    sudo mv ldid
    /usr/bin/

    #install OSXFuse for img3fs 安裝osxfuse 套件
    curl
    -O -L https://github.com/downloads/osxfuse/osxfuse/OSXFUSE-2.3.4.dmg
    hdiutil mount OSXFUSE
    -2.3.4.dmg
    sudo installer
    -pkg /Volumes/FUSE\for\ OS\ X/Install\ OSXFUSE\2.3.pkg -target /
    hdiutil eject
    /Volumes/FUSE\for\ OS\ X/

    # 安裝python 的解密模組
    sudo ARCHFLAGS
    ='-arch i386 -arch x86_64' easy_install pycrypto
    sudo easy_install M2crypto construct progressbar
    #準備RAM disk 製作
    
    hg clone https://code.google.com/p/iphone-dataprotection/ 
    cd iphone
    -dataprotection

    make
    -C img3fs/

    curl
    -O -L https://sites.google.com/a/iphone-dev.com/files/home/redsn0w_mac_0.9.9b8.zip
    unzip redsn0w_mac_0
    .9.9b8.zip
    cp redsn0w_mac_0
    .9.9b8/redsn0w.app/Contents/MacOS/Keys.plist .

    python python_scripts
    /kernel_patcher.py IOS5_IPSW_FOR_YOUR_DEVICE


    sh
    ./make_ramdisk_n88ap.sh (這邊要注意 不同的規格 ram disk 會生出不同make ramdisk的.sh 並且 kernelcache.release.nxx.patched不同)

     

    redsn0w -i IOS5_IPSW_FOR_YOUR_DEVICE -r myramdisk.dmg -k kernelcache.release.n88.patched
    #將usb port iphone 轉為本地port 
    python usbmuxd-python-client/tcprelay.py -t 22:2222 1999:1999
    可新增終端視窗
    #現在ios 裝置 SSH  為 localhost:2222. 測試ios裝置是否與有連通
    ssh -p 2222 root@localhost
    若需要密碼則為alpine
    測試連線無誤請按ctrl-z 跳出 
    

     

    #暴力破解密碼指令
    python python_scripts/demo_bruteforce.py
    
    #將keychain整合 可看到帳號密碼  UDID 為目錄名稱
    python python_scripts/keychain_tool.py -d UDID/keychain-2.db UDID/DATAVOLUMEID.plist
    

     

    #鏡像指令
    ssh -p 2222 -oStrictHostKeyChecking=no -oUserKnownHostsFile=/dev/null root@localhost "dd if=/dev/rdisk0s2s1  bs=8192 || dd if=/dev/rdisk0s1s2  bs=8192"  >image.img
     

    #將加密HFS System解開
    python python_scripts
    /emf_decrypter.py image.img #恢復被刪檔案 python python_scripts/emf_undelete.py image.img

    Windows  下需要軟體

    若沒有安裝ituens 需裝裝下面軟體

    32 位元裝 applemobiledevicesupport

    64位元裝applemoviledvicesupport64

    安裝python2.7 套件
    http://www.python.org/ftp/python/2.7/python-2.7.msi

    安裝下面套件
    http://www.slproweb.com/download/Win...SSL-0_9_8t.exe
    http://www.voidspace.org.uk/download...in32-py2.7.zip

    QT (不一定要裝)
    http://www.riverbankcomputing.co.uk/...-gpl-4.9-1.exe

    python 模組套件
    http://www.osslab.com.tw/@api/deki/f...e-packages.rar
    解出來要放到  /python27/lib/site-packages

    下載hack ios python  code
    http://www.osslab.com.tw/@api/deki/f...0/=hackios.rar

    直接打 hack ios python  code   
    比如說

    tcprelay.py -t 22:2222 1999:1999

    就可

    安裝 cygwin +ssh 套件

    ssh -p 2222 root@localhost  dd if=/dev/rdisk0s2s1 bs=8192  | dd of=iphone-root.img
    會在cygwin home目錄下..

    ssh -p 2222 root@localhost dd if=/dev/rdisk0s2s1 bs=8192 | dd of=iphone-user.img


    putty -ssh -P 2222 root@localhost -pw alpine  dd if=/dev/rdisk0s2s1 bs=8192  | dd of=iphone-user.img

    dd of=/HardDriveBackup.img | putty -ssh -P 2222 root@localhost -pw alpine  dd if=/dev/rdisk0s2s1
     

    dd if=/dev/rdisk0s2s1 bs=8192 | ssh root@localhost 'dd of=iphone-dump.img'



      iphone 4s , ipad2 處理方式
    1.先看看cyndia 有沒有安裝sshd
        (能不用先裝最好) 
    2.連接usb  port
    3.執行

    tcprelay.py -t 22:2222 1999:1999

    4.用ssh 如putty 測試

    ssh -p 2222 root@localhost
    若需要密碼則為alpine

     

    #暴力破解密碼指令
    demo_bruteforce.py
    
    #將keychain整合 可看到帳號密碼  UDID 為目錄名稱
    keychain_tool.py -d UDID/keychain-2.db UDID/DATAVOLUMEID.plist

     

    就可

    安裝 cygwin +ssh 套件


    ios 3 /dev/rdisk0s2.
     

     

    IOS 4 /dev/rdisk0s2s1
    ssh -p 2222 root@localhost  dd  if=/dev/rdisk0s2s1    bs=8192  | dd of=image.img

    IOS 5
    ssh -p 2222 root@localhost  dd  if=/dev/rdisk0s1s2     bs=8192  | dd of=image.img

    會在cygwin home目錄下..可做iphone4s 鏡像

    Powered by MindTouch Core