Decrypt iPhone DD Image [closed]

2

Volevo recuperare prima o scappare l'iPhone 4 di una ragazza, perché aveva cancellato tutti i video di sua figlia.

Cosa ho:

  • Un backup dell'iPhone con iTunes senza password.
  • Immagine DD di rdisks0s1 16 GB montabili su Linx. Tutto è lì.
  • Una copia di tutti i file con WinSCP non crittografato. System.kb ... telefono è stato jailbreaked e modalità DFU e con una versione iniziale del Geckotool.
  • deviceinfos (EMF, dataVolumeUID, key835, key89A, key89A, ...)
  • Portachiavi decrittografato

Cosa non ho ottenuto:

  • Non posso portare i pensieri insieme e ho restituito il telefono, perché ne aveva bisogno.
  • Quando provo a eseguire iphone_Dataprotection EMF_decrypt, dice "Keybag locked". C'è un modo per sbloccare la borsa senza l'IPhone? Nello strumento che ho usato non era il comando di bruteforece. Solo la possibilità di montare il filesystem su mnt1 & mnt2 e informazioni sul dispositivo.

C'è qualcuno che può mostrarmi un modo per decodificare l'immagine?

    
posta Andreas 13.09.2015 - 18:31
fonte

1 risposta

2

Questo è in realtà più difficile di quanto tu possa pensare. La protezione automatica dei dati di un iPhone crittografa ogni file con una chiave casuale e memorizza una copia della chiave crittografata con la chiave di classe appropriata (dalla keybag, dove è crittografata con la chiave UID del telefono e il codice di accesso dell'utente) nell'intestazione del file in il filesystem.

Dopo aver eliminato un file, l'intestazione del file nel filesystem viene cancellata, quindi la chiave crittografata viene persa, realizzando in modo efficace una cancellazione crittografica di quel file. Pertanto, qualcosa come Photorec sull'immagine del disco non ti darà nulla. Anche il ripristino delle chiavi di classe è inutile, perché la chiave di crittografia del file spostato è stata persa.

Naturalmente, per ottenere la massima sicurezza NSA-resistente quando si esegue la cancellazione crittografica su flash, è necessario memorizzare la chiave in una sezione del flash che non ha overprovisioning o copy-on-write o altri utili funzionalità di livello di traduzione flash che potrebbero perdere dati obsoleti. La chiave per l'intero filesystem è memorizzata in una tale area speciale, chiamata Effacable Storage, ma le chiavi per file non sono avvolte, quindi forse dissaldare il flash e scaricarlo chip per chip potrebbe consentire di recuperare le chiavi avvolte. Naturalmente, avresti ancora bisogno della chiave UID dell'iPhone per decrittografare l'intestazione del file system crittografato in modo trasparente che è stato decodificato gratuitamente prima di desoldare i chip ...

Ad un certo punto qui colpisci il cervello sul muro e muori.

(Un corollario di tutto questo è che pulire lo spazio libero su un iPhone è inutile, perché è già stato cancellato crittograficamente.)

    
risposta data 14.09.2015 - 01:46
fonte

Leggi altre domande sui tag