什么是低级提取
低级提取 (Low-Level Extraction)在 iOS 数字取证中,指的是一类比标准备份或普通逻辑采集更深层、更底层 的数据获取技术。其核心目标是在不依赖设备用户主动配合(如输入密码、点击"信任")的情况下,直接访问文件系统根目录 以及解密钥匙串所需的加密密钥。
低级提取的主要特点:
- 突破沙盒限制
iOS 为每个应用设置了"沙盒",普通备份只能获取沙盒内部分数据。低级提取利用安全漏洞(漏洞链)逃逸沙盒,获得整个文件系统的访问权限。 - 获取加密密钥
即使拿到文件系统镜像,很多数据(如钥匙串中的密码、令牌)仍是加密的。低级提取还能同时提取出解密所需的密钥,从而还原出明文数据。 - 不依赖用户交互
标准备份通常需要用户解锁设备、点击"信任此电脑"。低级提取通过侧载代理或引导加载程序漏洞,可以在更少的用户配合下(甚至完全无需输入锁屏密码,视设备和版本而定)完成采集。
Elcomsoft iOS Forensic Toolkit 最新版本 10.0 的低级提取能力
Elcomsoft 取证系列中的 iOS 取证工具包(iOS Forensic Toolkit)目前已更新至 10.0 版本,显著扩展了其在提取代理和基于引导加载程序两种方法下的低级提取能力。此前,基于代理的提取最高仅支持到 iOS 16.6.1。本次更新最终覆盖了 iOS 16 分支的剩余版本,并新增了对整个 iOS 17 分支以及 iOS 18 至 18.7.1 的支持。另外,该工具包还扩展了 checkm8 的支持范围,覆盖了苹果针对易受攻击设备所推送的所有最新操作系统更新。最后,该工具包改进了对 iOS/iPadOS 26 的扩展逻辑采集支持,现在能够提取比以往多得多的共享数据。
改进提取代理
对于新接触该工具的用户,低级提取代理是一个轻量级、内部开发的 iOS 应用,在低级取证采集过程中扮演关键角色。该代理将目前已知的所有 iOS 漏洞整合到一个工具中。一旦侧载到兼容的 iOS 或 iPadOS 设备上,代理将:
- 应用一系列漏洞利用链,提升权限级别、逃逸 iOS 沙盒、获得文件系统根目录访问权限以及解密钥匙串所需的加密密钥。
- 在设备和取证专家的计算机之间建立通信通道。
- 最终授予完整的文件系统访问权限和钥匙串提取能力。
通过这种方法,取证专家能够从 iPhone 和 iPad 中以低级方式提取关键证据,获取原本无法恢复的用户数据。
相当长一段时间内,基于代理的提取在 iOS 16.6.1 处遇到了硬性瓶颈;更新的系统需要更强大的漏洞利用,更确切地说,是一整套漏洞利用链。该工具包版本 10.0 将各个拼图碎片组合在了一起。首先,增加了对剩余 iOS 16 版本(iOS 16.7 至 16.7.15)的支持。更重要的是,代理现在支持整个 iOS 17 分支(17.0 至 17.7.8),并引入了对 iOS 18 一系列版本(18.0 至 18.7.1)的支持。
硬件矩阵与限制
更新后的代理适用于搭载 A11 至 A18 SoC 的设备。实际而言,这涵盖了从 iPhone 8、iPhone X 一直到 iPhone 16 全系列(但请注意,该漏洞利用在 iPhone 16 上目前稳定性稍差,可能引起重启,需要多次尝试才能成功)。
接下来再谈谈那些较老的 A11 设备。Elcomsoft iOS Forensic Toolkit 工具包推动对 iPhone 8、8 Plus 和 X 的代理支持(这些设备本身已经容易受到硬件级 checkm8 漏洞的影响),其原因在于苹果为了遏制基于引导加载程序的提取而开发了一个安全隔区处理器(SEP)补丁。在 A11 iPhone 上,只有当设备从出厂起从未设置过屏幕锁密码时,提取才能成功。即使用户之前设置过密码,然后又移除了它,提取过程也会失败。由于这个 SEP 补丁,基于代理的提取是在运行 iOS 16 的 A11 iPhone 上唯一可行的路径,对于运行 iOS 14 或 15 的设备也同样推荐。仅建议在运行 iOS 11 至 13 的 A11 iPhone 上使用 checkm8 提取。
最后,苹果自研芯片(Apple Silicon)方面存在一个明显的瓶颈。针对 iPadOS 16.7+ 以及 17/18 的新提取能力目前仅适用于配备 A 系列芯片的 iPad。如果要处理的是搭载 M 系列苹果自研芯片的 iPad,基于代理的提取目前最高仍只能支持到 iPadOS 16.6.1。
将提取代理侧载到设备上并运行它,需要绕过苹果设置的一些安全障碍。以下是关于当前操作流程需要了解的内容。
证书验证
此前,Elcomsoft iOS Forensic Toolkit 工具包使用一种特殊的 7 天证书,可以绕过互联网连接的需求。但是,苹果最近修补了这种方法。对于 2021 年 6 月 6 日之后创建的开发者账号,设备在首次启动时需要有效的互联网连接,以便通过苹果的配置文件队列(PPQ)验证证书。由于将取证设备联网本身存在风险,我们强烈建议通过严格配置的防火墙来路由连接,阻止除 PPQ 验证之外的所有流量。Elcomsoft 计划修复其离线提取方法,但目前必须采用防火墙方案。
开发者模式
对于运行 iOS 16 及更新版本的设备,在安装代理后启用开发者模式仍然是必须的。这需要设备重启,并且无法绕过此步骤。
信任与认证
安装代理需要在计算机和设备之间建立受信任的连接。如果设备运行的是 iOS 17.3 或更新版本,并且启用了"失窃设备保护",则建立此信任将需要生物识别认证。对于所有其他设备,当提示时,需要在设备屏幕上输入屏幕锁密码。
扩展的 checkm8 支持
虽然 Elcomsoft iOS Forensic Toolkit 工具包新版本的发布焦点是提取代理,但该版本仍致力于硬件级漏洞利用。该版本对 checkm8 提取方法进行了更新,确保其引导加载程序级漏洞利用能够覆盖苹果针对旧设备推送的最新安全补丁。
具体来说,checkm8 的支持现在包括 iOS 和 iPadOS 15.8.7、iPadOS 16.7.15 以及 iPadOS 18.7.5。此外还增加了对 iOS 16.8.8 的支持,但请注意,如果在此固件上处理 A11 设备,通常的 checkm8 限制仍然适用(即对于 iPhone 8、8 Plus 和 iPhone X 等机型,只有设备从未配置过密码时才能进行 checkm8 提取------这又是 SEP 安全补丁的限制)。最后,Elcomsoft iOS Forensic Toolkit 工具包将 tvOS 和 audioOS 的覆盖版本更新到了 26.3 和 26.4,以便于对智能家居或媒体硬件进行提取。
一个已知的限制,这是一个极端中的极端情况,可能只会影响极少数的提取操作:某些通过"完美采集"方法获取的 APFS 镜像目前无法在 Windows 机器上挂载。如果遇到这个障碍,需要在一台 Mac 或 Linux 计算机上处理该镜像,或者使用能够直接解析原始镜像的专用取证软件,而不是依赖原生操作系统来挂载。
其他
另外一个重要的提升:该工具包增加了对 iOS 26(包括 iOS 26.4)的扩展逻辑采集支持。这提供了显著的取证价值:这种新改进的方法能够提取大量的共享文件(主要是文档),这些文件通常不会包含在标准备份中。