5. 重新開機的影響?
NSFileProtectionComplete、UnlessOpen與UntilFirstUserAuthentication的Key皆從RAM移除。只有FileProtectionNone的檔案可以被系統讀取(因為FDE)。
27日
2019 8月
27日
2019 8月
4. 更換Passcode對Keybag的影響?
系統會複製所有的Keybag,新的Keybag採用0x835與新的Passcode Key重新加密,加密過後的Keybag寫入至Effaceable Storage,完成後舊的Keybag則刪除。
26日
2019 8月
3. AFU與BFU可以提取的差異?
從User與Device Keybag的權限推估,可存取的資料應該如下: BFU(Before First Unlock):僅Class 4 Key權限的檔案可以存取。 AFU(After First Unlock):Class 3 & 4 Key權限的檔案可以存取。
26日
2019 8月
2. iOS如何快速重置裝置? 重置後資料是否可以恢復?
從圖四可以得知,只要抹除NAND Block 1的資料(既Effaceable Storage)就可刪除所有的金鑰,包含Dkey,Bagkey與EMF Key。該區塊被刪除後,即使可以物理複製NAND資料,因加密的金鑰皆已刪除,也無法將NAND上的資料解密並恢復內容。另外,Apple有針對Effaceable Storage另處理寫入與刪除方式,Wear-leveling功能不會在這個區快啟用,可確保Keybag資料僅寫入該Block。
26日
2019 8月
1. 為什麼新版的iPhone不支援物理提取(64-bit iOS)?
因64-bit iOS後的裝置皆有導入Secure Enclave Processor安全性晶片架構,而可解密儲放於NAND Block 1上的Keybag金鑰是存放在Secure Enclave內,現無已知的方式可直接讀取SEP並取得UID與Passcode Key。比較接近的提取模式僅有JB後的iOS裝置可提取完整的檔案系統。
14日
2019 7月
3.5 若知道Secure Startup的密碼或圖形鎖,是否有需要移除鎖後才能成功提取?
必須使用Decrypting模式提取,開機會先進入Secure Startup畫面,輸入密碼或圖形鎖後Android系統就會成功掛載解密的分區,即使不知道螢幕密碼鎖,也可以成功提取。
14日
2019 7月
3.4 若查扣的裝置尚未關機,是否維持不關機來避免Secure Startup?
若用EDL的角度來評估,non-decrypting提取模式原本就在裝置關機的狀態下執行;而decrypting模式裝置必須從EDL狀態開啟載入Cellebrite客製化的Bootloader後進到開機程序,若有Secure Startup,若沒密碼或圖形解鎖提取還是會卡住。所以是否有沒有須要保持查扣的裝置不關機,不是EDL角度要思考的。 有其他的提取模式是不需要開關機,但切記若裝置不關機,至少要進到飛航模式。
14日
2019 7月
3.3 如果用EDL模式提取Secure Startup裝置會有什麼結果?
使用non-decrypting模式提取,結果會類似於使用ISP模式。提取過程因為裝置不須開機,資料藉由低階提取(low-level)可以取出一份完整的映像檔。但由於內容接為加密,所以後續使用PA開啟dump檔案時,PA會告知內容為加密,無法開啟。 若採用decrypting模式提取,因提取過程載入客製化的Bootloader後需要開機,這時候裝置會出現Secure Startup的畫面,這時若不知道密碼,提取就無法進行。
14日
2019 7月
3.2 Secure Startup是否代表裝置已加密?
若有啟用Secure Startup,裝置內的資料一定是加密狀態,該功能唯一的目的就是將裝置加密。若沒啟用Secure Startup並不意味著裝置未加密。 通常第一次使用手機時,啟用過程會詢問用戶是否需要啟用Secure Startup,若跳過之後用戶也可自行啟用該功能。 Secure Startup是用戶可自由決定是否啟用的選項。
14日
2019 7月
3.1 如何得知裝置有啟用Secure Startup
最簡單的方法是重啟一個裝置,如果有啟動Secure Startup,就會在螢幕上看到“To Start Android, draw your pattern”或 "enter your passcode"或"Your phone is encrypted for security. To start up
