如何使用rootless越獄對iOS 12設備的物理提取和文件系統映像

對於運行iOS 12的iPhone和iPad來說，針對它們的越獄方法和工具已經出現。rootless越獄是一種新型的越獄，它根本沒有root的讀寫權限。rootless為取證專家提供了與傳統越獄相同的低級文件系統訪問權限，我們一直在密切關注rootless的發展，並為運行iOS 12.0到12.1.2的Apple設備尋找出了完整的物理提取支持（包括鑰匙串解密）。目前，我們已經了解如何安裝rootless以及如何使用Elcomsoft iOS Forensic Toolkit執行物理提取。

越獄和文件系統提取的關係

我們已經發布了大量關於iOS越獄及其與物理提取關係的文章。 Elcomsoft iOS Forensic Toolkit依靠公共越獄來訪問設備的文件系統，繞過iOS安全措施並訪問設備隱私內容，這使我們能夠解密鑰匙串的全部內容，包括受最高防護等級保護的鑰匙串。

如果你對越獄感興趣，請閱讀我們關於使用iOS 11.2-11.3.1 Electra越獄進行iPhone物理採集的文章。

Rootless越獄

雖然iOS Forensic Toolkit不依賴公共越獄來繞過iOS中的許多安全層，但越獄開發人員花費大量精力開發的那些安全層並不需要或使用。傳統的越獄需要許多步驟才能運行第三方軟體並安裝物理提取不需要的Cydia商店。傳統越獄還會重新安裝文件系統以訪問文件系統的根目錄，這對於物理採集也是不必要的。

對於iOS 12設備，Toolkit使用了不同類型的越獄：rootless。與傳統越獄相比，rootless的佔地面積要小得多，因為它不使用或捆綁Cydia商店。Cydia商店是後端支付系統，允許用戶從Cydia的默認存儲庫購買付費越獄調整，例如BigBoss，MacCiti和ModMyi（後兩者在前一段時間被永久存檔）。它與Cydia Installer不同，Cydia Installer是用戶每天與之交互的Cydia應用程式。與傳統的越獄不同，rootless越獄不會重新安裝文件系統。最重要的是，rootless不會改變系統分區的內容，這使得專家可以在物理提取後刪除越獄，而無需系統還原將系統分區恢復到其原始未修改狀態。與使用傳統越獄相比，rootless越獄更具優勢。

注意：iOS 11設備的物理採集使用的是傳統越獄方式，具體請閱讀iOS 11.4和11.4.1的物理提取（https://blog.elcomsoft.com/2019/02/physical-acquisition-ios-11-4-and-11-4-1/）。

安裝rootless越獄的步驟

如果你閱讀我們之前關于越獄和物理提取的文章（https://blog.elcomsoft.com/2018/07/electra-jailbreak-ios-11-2-11-3-1-iphone-physical-acquisition/），你大概已經習慣了使用Cydia Impactor安裝越獄的過程。Cydia Impactor是Cydia 之父Saurik發布的一個全新的越獄應用,它可以幫你的iOS越獄設備恢復到未越獄狀態,恢復到原生iOS固件,所有安裝了的越獄軟體包都會被移除。但是，目前還沒有現成的IPA文件以這種方式進行rootless越獄安裝。不過，你可以通過原始碼（https://github.com/jakeajames/rootlessJB3）編譯IPA，也可以通過sideload安裝刷機包越獄。

要安裝rootless越獄，請執行以下步驟。

注意：rootless越獄目前支持iPhone 6s，SE，7,7 Plus，8,8 Plus，iPhone X.雖然也增加了對iPhone 5s和6的支持，但仍然不穩定。而支持iPhone Xr，Xs和Xs Max的功能正在開發中。

1.在iOS設備上，你即將在Safari中越獄打開ignition.fun；

2.選擇Jake James的rootless越獄；

3.點擊提取；

4.越獄IPA將通過sideload模式安裝到你的設備上；

5.打開「設置」應用並信任新安裝的企業版或開發人員證書，注意：閱讀信任證書需要密碼；

6.點擊rootlessJB以啟動應用程式；

7.在不選中iSuperSU和Tweaks選項的情況下，點擊「越獄」按鈕。

8.你現在可以無限制地訪問文件系統了；

對文件系統進行映像

要從運行iOS 12的Apple設備中提取數據，你需要iOS Forensic Toolkit 5.0或更高版本。為此，你必須在提取之前安裝越獄。

1.通過調用「Toolkit-JB」命令啟動iOS Forensic Toolkit；

2.使用Lightning電纜將iPhone連接到計算機，如果你能夠解鎖iPhone，請通過確認「信任此計算機？」提示並輸入設備密碼來配對設備。如果你無法執行配對，則無法執行物理採集。

3.系統將提示你指定SSH埠號，默認情況下，只需按Enter鍵即可指定埠號22。

4.在主窗口中，輸入「D」（DISABLE LOCK）命令，這是訪問文件系統的受保護部分所必需的命令。

5.在主窗口中，輸入「F」（文件系統）命令。

6.系統將提示你輸入root密碼，默認情況下，root密碼為「alpine」，你可能需要多次輸入密碼。

7.文件系統映像將作為單個TAR存檔轉儲；

8.在提取文件系統時，需要等待一段時間。

9.完成此過程後，斷開設備連接並繼續分析數據。

解密鑰匙串

無論其保護級別如何，物理提取是唯一允許解密所有鑰匙串項的方法。為了提取和解密鑰匙串，請執行以下步驟（假設你已成功配對並越獄設備）。

1.通過調用「Toolkit-JB」命令啟動iOS Forensic Toolkit；

2.將iPhone連接到計算機並指定SSH埠號（如上所述）；

3.系統將提示你輸入root密碼，默認情況下，root密碼為「alpine」，你可能需要多次輸入密碼。

4.在主窗口中，輸入「D」（DISABLE LOCK）命令，這是訪問文件系統的受保護部分所必需的。

5.現在輸入「K」（KEYCHAIN）命令，系統將提示你輸入保存鑰匙串XML文件的路徑。

6.指定iOS版本（第二個選項）；

7. 當提示輸入密碼時，輸入「alpine」；

8.提取和解密鑰匙串的內容；

9.完成此過程後，斷開設備連接並繼續分析數據。

注意：如果你看到要求解鎖設備的錯誤消息，請解鎖iPhone並確保使用「D」命令禁用屏幕鎖定。

分析數據

你可以使用Elcomsoft Phone Viewer分析TAR文件，要查看鑰匙串的內容，你需要用到Elcomsoft Phone Breaker。