فناوری پردازش نوین اطلاعات خوارزمی فپنا
دوشنبه 8 خرداد 1402 02:59:47

روش جمع آوری Checkm8 در اکسیژن 14.3

fapna
 

Checkm8 Acquisition Method in Oxygen Forensic Detective 14.3

روش جمع آوری Checkm8 در اکسیژن 14.3

برای اولین بار در جولای 2020، جمع آوری به روش   checkm8 از دستگاه‌های iOS در Oxygen Forensic Detective نسخه 12.6 اضافه شده است.لازم به ذکر است که خیلی از چیزها از آن زمان تغییر کرده‌اند. به همین علت محققان ابزار خود را چندین بار در چند ماه گذشته به‌ روزرسانی کرده اند تا همان پیشروان صنعت در جرم یابی قانونی موبایل باقی بمانند و بهترین راه‌ حل بازار را ارائه کنند.

طبق اطلاعات ویکی پدیا، iOS 15  پانزدهمین نسخه اصلی و کنونی سیستم عامل موبایل iOS است که توسط اپل برای سری محصولات آیفون و آی‌پاد تاچ توسعه یافته ودر کنفرانس جهانی توسعه دهندگان این شرکت در 7 ژوئن 2021 به عنوان جانشین iOS 14 معرفی شد و در 20 سپتامبر 2021 نیزبرای عموم مردم منتشر شد.البته در 10 فوریه 2022 iOS نسخه 15.3.1 نیزمنتشر شده که اشکالات نسخه های قبلی در آن رفع گردیده است.

درابزارفارنزیکی Oxygen Forensic Detective نسخه 14.3، روش جمع آوری checkm8 را به‌روزرسانی کرده‌اند و برای دستگاه‌هایی که در نسخه‌های iOS 15-15.3.1 کار می‌کنند پشتیبانی می‌کنند که عبارتند از:

  • iPhone 6s
  • iPhone 6S Plus
  • iPhone SE
  • iPhone 7 Plus
  • iPhone 7
  • iPhone 8
  • iPhone X
  • iPhone 8 Plus
  • iPad 5 Gen
  • iPad 6 Gen
  • iPad 7 Gen

لطفاً توجه داشته باشید که فرآیند استخراج برای دستگاه‌های دارای این نسخه‌های iOS متفاوت است. قبلاً دستگاه باید در حالت DFU قرار می گرفت و سپس وصل می شد اما در نسخه‌های iOS 15-15.3.1، ابتدا دستگاه باید در حالت ریکاوری قرار گیرد تا نسخه نصب شده iOS شناسایی شود آنگاه پس از تعریف نسخه iOS ومدل دستگاه، دستگاه باید به حالت DFU  سوئیچ شود. مراحل باقی مانده از فرآیند استخراج داده ها همچنین از دستگاه های iOS با نسخه iOS پایین تر از 15بدون تغییر باقی مانده است.

دلیل نیازبه قرار دادن دستگاه در حالت ریکاوری در تغییرات امنیتی ایجاد شده توسط iOS نسخه های 15-15.3.1 می باشد. با شروع iOS 15، تغییرات در پارتیشن سیستم، منجر به عدم کارکرد دستگاه در حالت عادی می شود. به منظور به حداقل رساندن خطر آسیب دائمی دستگاه، مجبور شده اند راه حلی ایجاد کنند که هیچ گونه داده دستگاه را تغییر ندهند. برخلاف سایر نسخه‌های iOS، در iOS 15 و بالاتر، فایل‌های اجرایی در RAMDisk قرار می‌گیرند که در حالت بازیابی بارگیری می‌شوند. با بارگیری RAMdisk در RAM، پارتیشن سیستم بدون تغییر باقی می ماند.

استخراج Keychain از دستگاه‌های دارای iOS 15 و بالاتر نیز تغییر کرده است. روشی که برای دستگاه‌های iOS با نسخه کمتر از 15 استفاده می‌شود، نمی‌تواند برای دستگاه‌های iOS 15+ قابل اجرا باشد، زیرا دستگاه در مسیراستاندارد در محیط خودش از RAMDisk بارگذاری می شود، که پروتکل بوت استاندارد را دور می‌زند. بنابراین، محققان مجبور شدند رمزگشایی داده‌های Keychain را مستقیماً و بدون استفاده از محیط استاندارد تلفن پیاده‌سازی کنند.

در روش استخراج به روز checkm8  ، محققان دیگراز API سیستم عامل استفاده نمی کنند، بلکه تمام اطلاعات Keychain  که از گوشی استخراج شده را تجزیه و رمزگشایی می کنند. ازاین دستگاه فقط برای محفاظت از کلیدهای سخت افزاری استفاده می کنند. بنابراین، یک Dumper جدید Keychain برای استخراج سوابق Keychain از دستگاه‌های iOS 15+ ایجاد شده است.

لطفا برای لینک خبر اینجا کلیک فرمایید: