Dumping iOS filesystem
Obwohl iTunes-Backups eine Fülle wertvoller Datenbanken und Diagnosedaten bieten, gibt es Situationen, in denen ein vollständiger Dateisystem-Dump erforderlich ist. Dieser Vorgang ist jedoch nur in einer Jailbreak-Umgebung für iOS-Geräte möglich. Dazu müssen Sie einen SFTP-Server auf dem Gerät installieren und mithilfe von Tools wie ldid spezifische Berechtigungen konfigurieren. Sehen wir uns an, wie Sie einen vollständigen iOS-Dateisystem-Dump erstellen.
Unabhängig davon, ob Sie ein iOS-Backup mit iTunes, idevicebackup2, Files oder uTools erstellen, stehen Ihnen nur zwei Optionen zur Verfügung: standardmäßige unverschlüsselte Backups mit eingeschränkten Informationen oder verschlüsselte Backups. Um ein iPhone-Backup ohne iTunes zu erstellen, folgen Sie unserer Schritt-für-Schritt-Anleitung.
Verschlüsselte, passwortgeschützte Backups enthalten wertvolle Datensätze, die in unverschlüsselten Backups fehlen, darunter wichtige Daten wie den Safari-Verlauf, den Safari-Status und andere relevante Informationen. Dies verbessert die forensischen Erkenntnisse für Analysen erheblich. Es ist jedoch zu beachten, dass iOS-System-Dumps alle verfügbaren Daten umfassen und so eine Ansicht für forensische Untersuchungen bieten. Das Dumpen des iOS-Dateisystems ist unkompliziert.
Dumping des iOS-Dateisystems
Um das iOS-Dateisystem zu sichern, müssen Sie zunächst Ihr Gerät jailbreaken, um Root-Zugriff zu erhalten. Dies ist mit verschiedenen Jailbreak-Tools wie unc0ver, checkra1n oder palera1n möglich. Sobald Ihr iPhone oder iPad erfolgreich gejailbreakt ist, müssen Sie SSH-Zugriff auf das Telefon herstellen. In der Regel benötigen Sie hierfür iproxy, einen Proxy, der lokale TCP-Ports bindet und an die angegebenen Ports eines USBMUX-Geräts weiterleitet.
Befolgen Sie diese Schritte, um das iOS-Dateisystem mit der iproxy-Methode zu sichern:
Schritt 1. Jailbreaken Sie das iPhone mit einem unterstützten Tool, indem Sie unseren Schritt-für-Schritt-Anleitungen folgen.
Schritt 2. Installieren Sie die iproxy-App über libimobiledevice auf Ihrem PC oder Mac. Auf Debian/Ubuntu-Systemen kann iproxy mit dem Paket libusbmuxd-tools installiert werden.
Schritt 3. Öffnen Sie die Terminal-App und führen Sie iproxy aus, um als Root per SSH auf den lokalen Host auf Port 2222 zugreifen zu können. Je nach Jailbreak müssen Sie möglicherweise eine andere Portnummer als 44 angeben.
iproxy 2222 44Schritt 4. Öffnen Sie auf Ihrem gejailbreakten iPhone eine Terminal-App wie NewTerm und verbinden Sie sich per SSH als Root mit dem lokalen Host auf Port 2222 und dem Passwort „alpine“. Speichern Sie anschließend ein Tarball auf dem Host des „private“-Ordners Ihres iPhones. Der Dumpling-Prozess dauert eine Weile.
ssh root@localhost -p 2222 tar czf - /private > dump.tar.gzSchritt 5. Um die Datei dump.tar.gz zu extrahieren, können Sie den Befehl tar im Terminal verwenden.
tar -xzvf dump.tar.gzEine alternative Methode zum Dumpen des iOS-Dateisystems ist die Verwendung des SSHFS-Tools, mit dem Sie ein Remote-Dateisystem per SFTP mounten können. Dazu müssen Sie den SFTP-Server auf Ihrem gejailbreakten iDevice installieren.
Befolgen Sie diese Schritte, um das iOS-Dateisystem mit der SSHFS-Methode zu sichern:
Schritt 1. Laden Sie lokal eine kompilierte Kopie des SFTP-Servers für iOS herunter.
curl -LO https://github.com/dweinstein/openssh-ios/releases/download/v7.5/sftp-serverSchritt 2. Laden Sie die SFTP-Server-Binärdatei auf das iPhone hoch.
scp -P2222 sftp-server root@localhost:.Schritt 3. Melden Sie sich per SSH bei Ihrem iPhone an und legen Sie einige Berechtigungen fest, um die Ausführung des SFTP-Servers zu ermöglichen.
chmod +x sftp-server ldid -e /binpack/bin/sh > /tmp/sh-ents ldid -S /tmp/sh-ents sftp-serverSchritt 4. Erstellen Sie einen Ordner auf dem Host und verwenden Sie ihn als Einhängepunkt. Verwenden Sie nicht den Ordner "/tmp/".
mkdir root_mountSchritt 5. Führen Sie den folgenden Befehl für den Einhängepunkt aus.
sshfs -p 2222 -o sftp_server=/var/root/sftp-server root@localhost:/ root_mountZur Überprüfung und Analyse des iOS-Dateisystem-Dumps können Sie ein Tool wie das Mobile Verification Toolkit verwenden. MVT ist eine Reihe von Dienstprogrammen zur automatisierten Erfassung forensischer Spuren, die für die Identifizierung potenzieller Kompromittierungen auf iOS-Geräten unerlässlich sind. Dieses Toolkit ist von unschätzbarem Wert, um festzustellen, ob ein iPhone gehackt oder unbefugt zugegriffen wurde.
