15.06.2011, 21:32
elcomsoft hat (soweit ich weiß) ein entschlüsselungstool für die iOS partition.
(gelöst) iPhone 3GS steckt im Recovery - keine aktuellen Backups
16.06.2011, 00:01
So no chance to recover? Ist es denn so, dass die Auslesedaten von IOS4 encrypted sind? Dann hätte ich mir die ganze Sache ja auch sparen können. Oder gibt es in IOS4 einen Workaround? Was mich stutzig macht: Es gibt viele - auch jüngere Einträge - bei denen die diskdump Geschichte geklappt hat (und mittlerweile haben ja vermutlich fast alle IOS4). Und es gibt eine Reihe Forensic-Stories über dubiose SSH Skripte, die explizit verschlüsselte iPhones auslesen.
Mein iPhone war übrigens IOS4, aber ohne Passwortschutz zu starten - wenn das bei der Einschätzung hilft.
Danke für alles, was ihr sagen könnt..
Mein iPhone war übrigens IOS4, aber ohne Passwortschutz zu starten - wenn das bei der Einschätzung hilft.
Danke für alles, was ihr sagen könnt..
16.06.2011, 01:24
(15.06.2011, 21:52)gado schrieb: An die Software kommen normale User nicht.
gar nicht wahr: http://www.elcomsoft.com/eppb.html
"decrypting the file system dump" klingt doch gut.
die 79 € sollten es einem wert sein. ansonsten gibts ja überall "test"versionen
die 79 € sollten es einem wert sein. ansonsten gibts ja überall "test"versionen
16.06.2011, 07:02
Produktbeschreibung gelesen?
Zitat:The toolkit allows eligible customers
Leute, lest doch erstmal zu Ende. Das ist nicht für normale Benutzer zugänglich. Das Toolkit um diese Images zu entschlüsseln, kann man so nicht mal eben kaufen.
Was mir da noch einfällt. Für den Vorgang werden diverse Keys ausgelesen. Vielleicht wird der eine oder andere neu generiert, wenn man das iPhone zurücksetzt. Ich weiß nicht, ob alles feste Hardwarekeys sind.
Dann wäre es sowieso nicht mehr möglich, auch nicht mit dem Tool.
Zitat: The availability of this toolkit is restricted to select government entries such as law enforcement and forensic organizations and intelligence agencies.Was iphonekaputt sagt ist nicht korrekt.
Was mir da noch einfällt. Für den Vorgang werden diverse Keys ausgelesen. Vielleicht wird der eine oder andere neu generiert, wenn man das iPhone zurücksetzt. Ich weiß nicht, ob alles feste Hardwarekeys sind.
Dann wäre es sowieso nicht mehr möglich, auch nicht mit dem Tool.
16.06.2011, 11:23
Ich will mal versuchen, hier etwas Licht in die Sache zu bringen. Seit iOS 4 sind am iPhone 4 und 3GS die RAW Disk Images verschlüsselt (die man mit dd bekommt). Am iPhone 3GS gibt es eine Chance, dass das nicht der Fall ist, trotz iOS 4.x drauf. Wenn von iOS 3.x am iPhone 3GS ein Update auf iOS 4.x gemacht wurde, ist das verschlüsselbare Dateisystem NICHT installiert und das Raw Disk Image auch folglich nicht verschlüsselt - siehe dazu auch Apples KB-Eintrag (http://support.apple.com/kb/HT4175?viewlocale=de_DE).
Da das iPhone 4 mit iOS 4.x ausgeliefert wird, gilt das nur für das iPhone 3GS.
Hat der OP also keine Wiederherstellung zu iOS 4.x gemacht, lässt sich das Raw Disk Image mit diversen Tools durchsuchen. Ich empfehle hier Scalpel, ist etwas unkomfortabel aber einfach gut und zudem kostenlos (http://www.digitalforensicssolutions.com/Scalpel/). Vielleicht hat der OP ja Glück.
Schon vor Elcomsoft hatten Jean-Baptiste Bédrune und Jean Sigwald auf der HITBSec-Conf (http://conference.hackinthebox.org/) im Mai demonstriert, wie man mit Hilfe einer Custom Recovery Ramdisk und von den beiden entwickelten Tools die einfache Code-Sperre knackt und das komplette Volume im Rohdatenformat (Raw-Disk) entschlüsselt auf den PC überträgt. Elcomsoft macht das selbe, schwer zu sagen, ob die Entwicklung der Tools parallel verlief.
Jedenfalls wird beim Laden des Image der EMF key (Schlüssel der Datenpartition) aus einem anderen Schlüssel gelesen und das Image gleich unverschlüsselt übertragen. Der Zug ist hier leider abgefahren für den OP.
Hier ist m.E. nix mehr zu machen. Die Wiederherstellung hats gerissen.
Im Status Recovery Mode (vor der Wiederherstellung) hätte man das iPhone von einer Custom Recovery Ramdisk booten können und hätte dann direkten Zugriff auf die Bilder (und fast alle anderen Daten) gehabt. In diesem Falle sorgt das iPhone 3GS (oder 4) automatisch für die Entschlüsselung der User-Partition und mountet sie.
Da das iPhone 4 mit iOS 4.x ausgeliefert wird, gilt das nur für das iPhone 3GS.
Hat der OP also keine Wiederherstellung zu iOS 4.x gemacht, lässt sich das Raw Disk Image mit diversen Tools durchsuchen. Ich empfehle hier Scalpel, ist etwas unkomfortabel aber einfach gut und zudem kostenlos (http://www.digitalforensicssolutions.com/Scalpel/). Vielleicht hat der OP ja Glück.
Schon vor Elcomsoft hatten Jean-Baptiste Bédrune und Jean Sigwald auf der HITBSec-Conf (http://conference.hackinthebox.org/) im Mai demonstriert, wie man mit Hilfe einer Custom Recovery Ramdisk und von den beiden entwickelten Tools die einfache Code-Sperre knackt und das komplette Volume im Rohdatenformat (Raw-Disk) entschlüsselt auf den PC überträgt. Elcomsoft macht das selbe, schwer zu sagen, ob die Entwicklung der Tools parallel verlief.
Jedenfalls wird beim Laden des Image der EMF key (Schlüssel der Datenpartition) aus einem anderen Schlüssel gelesen und das Image gleich unverschlüsselt übertragen. Der Zug ist hier leider abgefahren für den OP.
Hier ist m.E. nix mehr zu machen. Die Wiederherstellung hats gerissen.
Im Status Recovery Mode (vor der Wiederherstellung) hätte man das iPhone von einer Custom Recovery Ramdisk booten können und hätte dann direkten Zugriff auf die Bilder (und fast alle anderen Daten) gehabt. In diesem Falle sorgt das iPhone 3GS (oder 4) automatisch für die Entschlüsselung der User-Partition und mountet sie.
16.06.2011, 14:23
also beim nächsten absturz die finger davon lassen und nix wiederherstellen, sondern mit russischen cracktoolZ (ja, mit Z) daten wiederherstellen. eine lebensweißheit, die mir schon oft geholfen hat.
16.06.2011, 14:25
Die Custom Recovery Ramdisk gibt es schon seit iOS 1.x, das ist ein uralter Hut, der diesmal nicht aus Russland kommt ;-)
16.06.2011, 14:44
aber elcomsoft hat es marktreif gemacht. ich liebe diese russen.
16.06.2011, 18:07
toll ist, dass man kein halber progammierer mehr sein muss, um solche komplexen sachen nutzen zu können.
16.06.2011, 23:57
@gado: das ist wohl wahr, ich stimme Dir voll zu
@naddel81: So einfach, wie Du denkst, ist die Lösung auch nicht. Es ist kein Programm, das mit einem Klick alle Probleme löst oder einfach startet und alle Keys ausspuckt. Auch hier musst Du recht firm mit der Benutzung von Terminal, umgeleiteten Ports von Wi-Fi auf USB und mehr sein. Umsonst gibt es auch hier nix. was ich nur sagen wollte ist: Die Jungs bei Elcomsoft haben einen guten Job gemacht, nur ist das keine neue "Erfindung", hier wurden diverse Tools und Techniken zusammen gefasst, die es schon länger gibt.
Das ist hier aber nicht das Thema, der OP hatte ein Problem und hat leider eine Wiederherstellung gemacht, damit sind alle Optionen dahin. Das ist für ihn/sie sicher das Einzige, was zählt beziehungsweise schmerzt.
@naddel81: So einfach, wie Du denkst, ist die Lösung auch nicht. Es ist kein Programm, das mit einem Klick alle Probleme löst oder einfach startet und alle Keys ausspuckt. Auch hier musst Du recht firm mit der Benutzung von Terminal, umgeleiteten Ports von Wi-Fi auf USB und mehr sein. Umsonst gibt es auch hier nix. was ich nur sagen wollte ist: Die Jungs bei Elcomsoft haben einen guten Job gemacht, nur ist das keine neue "Erfindung", hier wurden diverse Tools und Techniken zusammen gefasst, die es schon länger gibt.
Das ist hier aber nicht das Thema, der OP hatte ein Problem und hat leider eine Wiederherstellung gemacht, damit sind alle Optionen dahin. Das ist für ihn/sie sicher das Einzige, was zählt beziehungsweise schmerzt.
@naddel: Hattest Du Anfang des Threads nicht das Wiederherstellen empfohlen?
Danke allen für die weiteren Infos. - Obwohl sehr ärgerlich... Das frustrierendste ist, dass ich anfangs dachte überall gesucht zu haben und erst nach ewigem Lösungen probieren den Weg der Wiederherstellung gegangen bin (kam einfach nicht aus dem Recovery-Mode).
@volkphone:
- Gibt es eine Möglichkeit, rauszufinden, ob mein iPhone eine verschlüsselte Disk hatte? Was ich weiß: Es ist ein Garantierücklauf von Apple gewesen mit installierter 4.1. Und die mit Terminal geholten dd´s sind nicht mountbar.
- An ein verschlüsseltes Image ranzukommen ist nicht machbar?
- Habe den Link bei Apple gecheckt - bei meinem iPhone steht nicht "Datenschutz ist aktiviert" - Hoffnung?
Zumindest eine Menge über die iPhone-Interna gelernt..
Danke allen für die weiteren Infos. - Obwohl sehr ärgerlich... Das frustrierendste ist, dass ich anfangs dachte überall gesucht zu haben und erst nach ewigem Lösungen probieren den Weg der Wiederherstellung gegangen bin (kam einfach nicht aus dem Recovery-Mode).
@volkphone:
- Gibt es eine Möglichkeit, rauszufinden, ob mein iPhone eine verschlüsselte Disk hatte? Was ich weiß: Es ist ein Garantierücklauf von Apple gewesen mit installierter 4.1. Und die mit Terminal geholten dd´s sind nicht mountbar.
- An ein verschlüsseltes Image ranzukommen ist nicht machbar?
- Habe den Link bei Apple gecheckt - bei meinem iPhone steht nicht "Datenschutz ist aktiviert" - Hoffnung?
Zumindest eine Menge über die iPhone-Interna gelernt..
20.06.2011, 01:03
20.06.2011, 10:10
@Nebaxa
- Der Satz "Datenschutz ist aktiviert" taucht erst auf, wenn Du Code-Sperre aktivierst, also entweder die einfache Code-Sperre mit vierstelligem Zahlencode oder die komplexe einschaltest. Das muss bei Dir auch erscheinen, bei Post #7 hast Du geschrieben, dass Du eine Wiederherstellung gemacht hast. Spätestens an dem Punkt war das verschlüsselbare Dateisystem installiert. Vermutlich aber schon vorher, Du hast das Teil von Apple mit 4.1 bekommen. Sobald bei eingeschalteter Code-Sperre unten "Datenschutz ist aktiviert" auftaucht, sagt Dir iOS, dass das Raw-Image verschlüsselt wird, ebenso Mails und Mail-Anhänge, sowie Daten in GoodReader und Cortado Workplace.
- Man kommt an das verschlüsselte Image, ich habe ein Tool, das dem von Elcomsoft entspricht - etwas anders. Gemein ist den Tools allerdings, dass sich damit nur "echte Dateien" aus dem Image entschlüsseln lassen, also solche, die auch sichtbar sind. "Unallocated" Dateien, also solche, die gelöscht wurden, können die Tools nicht entschlüsseln, sie sind für die emf encrypter schlichtweg nicht vorhanden.
- Mit der Wiederherstellung ist bei den Vorbedingungen bei Deinem iPhone leider der Zug abgefahren, die Daten sind futsch. Hätte man das iPhone vor Post #6/7 von einer Custom Recovery Ramdisk gebootet, hätte das iPhone alle Daten selbst freigegeben, man hat in dem Fall Zugriff auf alle Life-Daten. Bei dem Stand hätte man auch mit dd ein Backup des Raw Disk Image machen können und das später mit entsprechenden Tools auslesen können.
Sorry, das ist nix mehr zu machen, tut mir leid für Dich,
v.
- Der Satz "Datenschutz ist aktiviert" taucht erst auf, wenn Du Code-Sperre aktivierst, also entweder die einfache Code-Sperre mit vierstelligem Zahlencode oder die komplexe einschaltest. Das muss bei Dir auch erscheinen, bei Post #7 hast Du geschrieben, dass Du eine Wiederherstellung gemacht hast. Spätestens an dem Punkt war das verschlüsselbare Dateisystem installiert. Vermutlich aber schon vorher, Du hast das Teil von Apple mit 4.1 bekommen. Sobald bei eingeschalteter Code-Sperre unten "Datenschutz ist aktiviert" auftaucht, sagt Dir iOS, dass das Raw-Image verschlüsselt wird, ebenso Mails und Mail-Anhänge, sowie Daten in GoodReader und Cortado Workplace.
- Man kommt an das verschlüsselte Image, ich habe ein Tool, das dem von Elcomsoft entspricht - etwas anders. Gemein ist den Tools allerdings, dass sich damit nur "echte Dateien" aus dem Image entschlüsseln lassen, also solche, die auch sichtbar sind. "Unallocated" Dateien, also solche, die gelöscht wurden, können die Tools nicht entschlüsseln, sie sind für die emf encrypter schlichtweg nicht vorhanden.
- Mit der Wiederherstellung ist bei den Vorbedingungen bei Deinem iPhone leider der Zug abgefahren, die Daten sind futsch. Hätte man das iPhone vor Post #6/7 von einer Custom Recovery Ramdisk gebootet, hätte das iPhone alle Daten selbst freigegeben, man hat in dem Fall Zugriff auf alle Life-Daten. Bei dem Stand hätte man auch mit dd ein Backup des Raw Disk Image machen können und das später mit entsprechenden Tools auslesen können.
Sorry, das ist nix mehr zu machen, tut mir leid für Dich,
v.
21.06.2011, 08:46
@volkphone: Danke für die Infos, obwohl äußerst frustrierend
@alle: Danke für das Engagement. Wenn ich dran denke, dass alles noch da war, bevor ich angefangen habe das Problem lösen zu wollen... Bitte behaltet im Blick, dass relative Newbies in iPhone Forensik wie ich Tipps hier aus dem Forum ernst nehmen und umsetzen.
Anyway danke für die vielen Kommentare und Unterstützungen.
@alle: Danke für das Engagement. Wenn ich dran denke, dass alles noch da war, bevor ich angefangen habe das Problem lösen zu wollen... Bitte behaltet im Blick, dass relative Newbies in iPhone Forensik wie ich Tipps hier aus dem Forum ernst nehmen und umsetzen.
Anyway danke für die vielen Kommentare und Unterstützungen.
Möglicherweise verwandte Themen…
Thema / Verfasser
Antworten
Ansichten
Letzter Beitrag
Benutzer, die gerade dieses Thema anschauen: 9 Gast/Gäste