iOS 鑑識：進階邏輯檔案系統提取和 Checkm8

Cellebrite 在 2022 年針對數位鑑識解決方案進行了多次更新。本文章是系列的第一部分，將重點介紹 iOS 裝置的數位鑑識方式。

Cellebrite 的 iOS 鑑識工具現在支援更進階的邏輯檔案系統提取方法，可提取 iOS 裝置上的所有應用程式和其相關數據。這種提取方式利用裝置本身的功能，可以在解鎖的 iPhone 和 iPad 上達到快速和完整的提取。這種進階提取方法尤其對於新一代 iOS 裝置非常有用，因為它們的檔案系統使用了更複雜的加密和保護措施。

此外，Cellebrite 還支援使用 Checkm8 漏洞進行物理提取。Checkm8 漏洞是一個硬體級漏洞，可用於解鎖 iOS 設備，無需輸入密碼或採取其他解鎖措施。此方法適用於支援 Checkm8 的 iOS 裝置，可用於解鎖加密的檔案系統並提取所有數據。

這些更新增強了 Cellebrite iOS 鑑識工具的功能和效率，為數位鑑識人員提供更強大的工具來處理各種 iOS 設備的數據提取和分析。

Cellebrite 在 2022 年針對其數位情報和鑑識解決方案發佈了許多更新。這些更新在最近的網絡研討會中進行了介紹。

網絡研討會分為四個主要的解決方案更新：

1. iOS 和 Android 裝置的數位鑑識
2. Windows 和 Mac 平台的電腦鑑識
3. 常見問題
4. 現場問答

本篇文章將重點介紹支援 iOS 裝置的鑑識工具更新說明。

進階邏輯檔案系統提取相當於 iTunes 備份。這種數據提取方法可用於所有 iOS 裝置，無論其安裝的 iOS 版本或硬體規格。

進階邏輯檔案系統提取也支援最新的 iOS 15 和 16 版本。若要對具有最新 iOS 版本的裝置進行提取，請確保 UFED 軟體保持在最新版本。

影片一、如何使用 Cellebrite UFED 或 Physical Analyzer 進行 iOS 進階邏輯提取。

接下來是 Checkm8 的更新，這是一個完整的檔案系統提取解決方案，支援 A7 到 A11 設備，前提是設備沒有螢幕密碼鎖或已知螢幕密碼。通常，這種提取方法涵蓋了 iPhone 5S 到 iPhone X 的硬體版本。

最新的 UFED 7.60 包含了對 iOS 15.7 的 Checkm8 支援。對於 iOS 16 的支援正在開發中，我們希望在未來的版本中為您帶來。關於 iOS 14 到 15.7 的 iPhone 8、8+ 和 iPhone X，提取流程與一般不同。在進行 Checkm8 提取之前，必須從設備中刪除螢幕鎖密碼。

影片二、如何使用 Cellebrite UFED 搭配 checkm8 進行 BFU 提取

現在談談 iOS DFU（裝置韌體升級）模式動畫說明。此功能已包含在 UFED 7.56 中。要進行 CHECKM8 的完整檔案系統提取，iOS 裝置必須進入 Recovery 模式，並從 Recovery 模式進入 DFU 模式。因此，將裝置置於 DFU 模式可能有些棘手，特別是如果您以前沒有嘗試過。而各種不同的 iOS 裝置進入 DFU 模式的方式也有所不同，因此可能會帶來一些挑戰性。

螢幕並無特別的指示告知成功進入 DFU 模式，您必須仔細執行每個步驟並注意每個步驟的時間。如果在過程中錯過任何步驟，裝置可能會重新啟動而不是進入 DFU 模式。屆時必須重複整個過程，直到螢幕為全黑，這時代表裝置已成功進入 DFU 模式。

UFED 透過動畫提示操作步驟，確保整個過程順暢無誤。互動式動畫提供詳細的指示和時間，以更準確地執行每個步驟。如果在過程中需要重來，可點擊重啟按鈕，重新開始整個過程。