Pages : 1
#1 Le 13/03/2023, à 11:05
- RidingAround
Investigation Android et iOS
Salut à tous,
de par la nature de mon métier, on me demande parfois si je peux faires des investigations sur des supports de stockage.
Ce que je fais avec Autopsy sur des disques durs.
Toutefois, sur des téléphones, c'est plus complexe, car il faut procéder à une extraction de l'image disque, idéalement. On peut faire des lectures de sauvegardes, mais on n'a pas tout.
Là j'ai le cas sur iPhone 6s et iOS 15.7.3 & iPhone 5s 12.5.7
Je comprends qu'un jailbreak permet une connexion ssh, qui permet une commande "dd"
Mais on ne peut pas facilement jailbreak un 12.5.7. J'ai aussi vu qu'il existe des jailbreak virtuels, plus faciles et à plus large spectre. Mais permettent-ils du ssh et la copie ?
Est-ce que l'un d'entre vous a de l'expérience en la matière ?
J'ai adb, idevice, usbmuxd.
Je veux juste ces deux images disque par tout moyen, et après je me débrouille.
merci
Dernière modification par RidingAround (Le 13/03/2023, à 11:07)
RAID 5 luks 4x1To - SSD M2 120 - RX 480 - 4x4 DDR4 - Xeon
24 ans de Linux ! Ubuntu aux particuliers -> puis aux entreprises -> monter des serveurs -> sécuriser les entreprises -> des armoires -> des clusters -> des conteneurs ... que du bonheur :}
Hors ligne
#2 Le 19/03/2023, à 08:52
- Nuliel
Re : Investigation Android et iOS
Bonjour,
Je trouve cette question très intéressante, et je serais curieux de connaître la réponse, mais visiblement il n'y a pas grand monde ici qui a déjà fait des investigations sur téléphone (je n'en ai jamais fait pour ma part). Je pense qu'aller sur des forum ou discord de sécurité informatique (je pense notamment au discord root-me) te permettrait d'avoir plus de chances de trouver quelqu'un qui saura répondre à tes questions.
Je me suis un peu renseigné (principalement via le livre "practical mobile forensics"), il semble que le jailbreak soit obligatoire dans le cas d'un dump du filesystem complet.
J'imagine que les jailbreak "virtuels" (j'imagine que tu parles de unc0ver) restent des jailbreak, ce qui te permet d'installer des applis non signées par apple (donc tu installes ce que tu veux, ici un outil pour faire un dump du fs).
Je te conseille vivement de t'entraîner sur un autre iphone avant de te lancer sur celui-ci (j'imagine que tu le fais déjà, mais bon, dans le doute)
Hors ligne
#3 Le 19/03/2023, à 11:51
- RidingAround
Re : Investigation Android et iOS
Salut,
le premier niveau est la sauvegarde sécurisée; elle semble donner plus de contenu que celle qui est sans chiffrement.
Le niveau satisfaisant est en effet un jailbreak et une récupération complète. Mais certains types de jailbreak sont de nature à recouvrir le système de fichiers il me semble (fakeroot fs).
Je n'ai qu'un appareil, un iPhone 6s avec iOS 15.7.3, et je dois le faire prochainement.
Je n'ai malheureusement pas d'autres info.
RAID 5 luks 4x1To - SSD M2 120 - RX 480 - 4x4 DDR4 - Xeon
24 ans de Linux ! Ubuntu aux particuliers -> puis aux entreprises -> monter des serveurs -> sécuriser les entreprises -> des armoires -> des clusters -> des conteneurs ... que du bonheur :}
Hors ligne
#4 Le 19/03/2023, à 17:23
- Nuliel
Re : Investigation Android et iOS
De ce que j'ai lu, les jailbreak rootless ne touchent pas à la racine car elle est protégée en écriture par le noyau (un équivalent de dm-verity sur android si j'ai bien compris), donc je ne pense pas que le jailbreak rootless fasse perdre des données (enfin peut-être des restes de fichiers effacés?). Par contre j'imagine que tu n'as pas la possibilité de dump le fs entier, seulement les fichiers en lecture avec ces jailbreak.
(mon message est à prendre avec des pincettes, je n'ai pas d'expérience sur iOS)
Dernière modification par Nuliel (Le 19/03/2023, à 17:25)
Hors ligne
#5 Le 20/03/2023, à 08:53
- RidingAround
Re : Investigation Android et iOS
Oui, c'est précisément le recouvrement de données effacées que je crains.
RAID 5 luks 4x1To - SSD M2 120 - RX 480 - 4x4 DDR4 - Xeon
24 ans de Linux ! Ubuntu aux particuliers -> puis aux entreprises -> monter des serveurs -> sécuriser les entreprises -> des armoires -> des clusters -> des conteneurs ... que du bonheur :}
Hors ligne
Pages : 1