对于运行iOS 12的iPhone和iPad来说，针对它们的越狱方法和工具已经出现。rootless越狱是一种新型的越狱，它根本没有root的读写权限。rootless为取证专家提供了与传统越狱相同的低级文件系统访问权限，我们一直在密切关注rootless的发展，并为运行iOS 12.0到12.1.2的Apple设备寻找出了完整的物理提取支持（包括钥匙串解密）。目前，我们已经了解如何安装rootless以及如何使用Elcomsoft iOS Forensic Toolkit执行物理提取。

越狱和文件系统提取的关系

我们已经发布了大量关于iOS越狱及其与物理提取关系的文章。 Elcomsoft iOS Forensic Toolkit依靠公共越狱来访问设备的文件系统，绕过iOS安全措施并访问设备隐私内容，这使我们能够解密钥匙串的全部内容，包括受最高防护等级保护的钥匙串。

如果你对越狱感兴趣，请阅读我们关于使用iOS 11.2-11.3.1 Electra越狱进行iPhone物理采集的文章。

Rootless越狱

虽然iOS Forensic Toolkit不依赖公共越狱来绕过iOS中的许多安全层，但越狱开发人员花费大量精力开发的那些安全层并不需要或使用。传统的越狱需要许多步骤才能运行第三方软件并安装物理提取不需要的Cydia商店。传统越狱还会重新安装文件系统以访问文件系统的根目录，这对于物理采集也是不必要的。

对于iOS 12设备，Toolkit使用了不同类型的越狱：rootless。与传统越狱相比，rootless的占地面积要小得多，因为它不使用或捆绑Cydia商店。Cydia商店是后端支付系统，允许用户从Cydia的默认存储库购买付费越狱调整，例如BigBoss，MacCiti和ModMyi（后两者在前一段时间被永久存档）。它与Cydia Installer不同，Cydia Installer是用户每天与之交互的Cydia应用程序。与传统的越狱不同，rootless越狱不会重新安装文件系统。最重要的是，rootless不会改变系统分区的内容，这使得专家可以在物理提取后删除越狱，而无需系统还原将系统分区恢复到其原始未修改状态。与使用传统越狱相比，rootless越狱更具优势。

注意：iOS 11设备的物理采集使用的是传统越狱方式，具体请阅读iOS 11.4和11.4.1的物理提取。

安装rootless越狱的步骤

如果你阅读我们之前关于越狱和物理提取的文章，你大概已经习惯了使用Cydia Impactor安装越狱的过程。Cydia Impactor是Cydia 之父Saurik发布的一个全新的越狱应用,它可以帮你的iOS越狱设备恢复到未越狱状态,恢复到原生iOS固件,所有安装了的越狱软件包都会被移除。但是，目前还没有现成的IPA文件以这种方式进行rootless越狱安装。不过，你可以通过源代码（https://github.com/jakeajames/rootlessJB3）编译IPA，也可以通过sideload安装刷机包越狱。

要安装rootless越狱，请执行以下步骤。

注意：rootless越狱目前支持iPhone 6s，SE，7,7 Plus，8,8 Plus，iPhone X.虽然也增加了对iPhone 5s和6的支持，但仍然不稳定。而支持iPhone Xr，Xs和Xs Max的功能正在开发中。

1.在iOS设备上，你即将在Safari中越狱打开ignition.fun；

2.选择Jake James的rootless越狱；

3.点击提取；

4.越狱IPA将通过sideload模式安装到你的设备上；

5.打开“设置”应用并信任新安装的企业版或开发人员证书，注意：阅读信任证书需要密码；

6.点击rootlessJB以启动应用程序；

7.在不选中iSuperSU和Tweaks选项的情况下，点击“越狱”按钮。

8.你现在可以无限制地访问文件系统了；

对文件系统进行映像

要从运行iOS 12的Apple设备中提取数据，你需要iOS Forensic Toolkit 5.0或更高版本。为此，你必须在提取之前安装越狱。

1.通过调用“Toolkit-JB”命令启动iOS Forensic Toolkit；

2.使用Lightning电缆将iPhone连接到计算机，如果你能够解锁iPhone，请通过确认“信任此计算机？”提示并输入设备密码来配对设备。如果你无法执行配对，则无法执行物理采集。

3.系统将提示你指定SSH端口号，默认情况下，只需按Enter键即可指定端口号22。

4.在主窗口中，输入“D”（DISABLE LOCK）命令，这是访问文件系统的受保护部分所必需的命令。

5.在主窗口中，输入“F”（文件系统）命令。

6.系统将提示你输入root密码，默认情况下，root密码为“alpine”，你可能需要多次输入密码。

7.文件系统映像将作为单个TAR存档转储；

8.在提取文件系统时，需要等待一段时间。

9.完成此过程后，断开设备连接并继续分析数据。

解密钥匙串

无论其保护级别如何，物理提取是唯一允许解密所有钥匙串项的方法。为了提取和解密钥匙串，请执行以下步骤（假设你已成功配对并越狱设备）。

1.通过调用“Toolkit-JB”命令启动iOS Forensic Toolkit；

2.将iPhone连接到计算机并指定SSH端口号（如上所述）；

3.系统将提示你输入root密码，默认情况下，root密码为“alpine”，你可能需要多次输入密码。

4.在主窗口中，输入“D”（DISABLE LOCK）命令，这是访问文件系统的受保护部分所必需的。

5.现在输入“K”（KEYCHAIN）命令，系统将提示你输入保存钥匙串XML文件的路径。

6.指定iOS版本（第二个选项）；

7. 当提示输入密码时，输入“alpine”；

8.提取和解密钥匙串的内容；

9.完成此过程后，断开设备连接并继续分析数据。

注意：如果你看到要求解锁设备的错误消息，请解锁iPhone并确保使用“D”命令禁用屏幕锁定。

分析数据

你可以使用Elcomsoft Phone Viewer分析TAR文件，要查看钥匙串的内容，你需要用到Elcomsoft Phone Breaker。

本文翻译自：https://blog.elcomsoft.com/2019/02/physical-extraction-and-file-system-imaging-of-ios-12-devices/

翻译作者：xiaohui  原文地址：https://www.4hou.com/mobile/16418.html