DETAILS
关于Checkm8和Checkra1n的所有您想问的问题

【科普】

什么是Checkm8

Checkm8是一种利用程序(利用操作系统或硬件漏洞的程序),旨在iOS设备加载的初始阶段获得对其自身软件代码执行的访问权限。

是什么让它脱颖而出?

Checkm8的丰富性,确切的说是它所基于的漏洞无法通过软件(更新或更改)进行修补,因为该漏洞在制造设备芯片的阶段,已被合并到只读存储器的代码中,并且无法重写。这意味着,无论iOS版本如何,所有具有此漏洞的iOS设备都将是危险的

*/

科谱知识:

iOS 安全启动机制简介:

为了保证 iOS 系统的代码不被恶意篡改,苹果公司使用了一套名为 安全启动链(Secure Boot Chain)的技术。他们将开机过程分为四到五个阶段,每个阶段负责检查下个阶段的代码,如果检查出任何问题,比如签名错误、安全模式不符,就立马中止开机。

A10处理器之前 iPhone 的开机过程分为以下五个阶段:

1.png

A10 处理器之后,苹果就已经放弃了双阶段加载,也就是说上图的那个LLB已经被删掉了,更新后的启动流程如下:

2.png

这四个阶段从左到右分别是:

 ROM / Secure ROM:开机启动时执行的第一段程序,负责检查并加载接下来的 iBoot

 iBoot:苹果开发的引导程序,负责检查并加载系统内核。

 KerneliOS 系统内核。

 OSiOS 系统的用户界面、后台服务等非核心组件。

 

Secure ROM 作为系统启动时执行的第一段程序,扮演着整个安全启动链技术的信任基石。一旦攻破了它,接下来所有阶段的代码都能随意篡改,因此苹果公司下了很大功夫来保护这段 ROM 程序:

 封杀写权限 :这段程序烧写在 CPU 的硅片内部,无法拆解,无法替换。在工厂里一次性烧录完之后,就连苹果自己都没办法改动它。

 封杀读权限 :这段程序完成工作后,会直接把自己所在的储存器锁掉,再没有任何办法能读取它。也就是说,启动之后哪怕你攻陷了整个系统,也读不到这段程序的内容。

/*

有哪些限制?

该漏洞仅在随机访问内存中执行。这意味着在关闭或重新启动设备后,它将在正常模式下加载,调查程序将不得不再次执行checkm8

使用Checkm8不能绕过密码或快速破解密码,因为密码处理、生物特征数据和基于它们的数据加密是在安全处理器中执行的,而Checkm8无法访问安全处理器。

支持设备列表

支持此漏洞的设备:

所有基于处理器的设备: s5l8940x (A5), s5l8942x (A5 Rev A), s5l8945x (A5X), s5l8947x (A5 Rev B), s5l8950x (A6) , s5l8955x (A6X), s5l8960x (A7), t8002 (including S1P and S2), t8004 (S3), t8010 (A10), t8011 (A10), t8015, (A11), s5l8747x (Haywire video adapters processor), t7000 (A8), t7001 (A8X), s7002 (S1), s8000 (A9), s8001 (A9X), s8003 (A9) and t8012 (used in iMac Pro);

所有 iPhones  iPhone 4S iPhone X;

iPad 2, iPad (3rd generation), iPad (4th generation), iPad (5th generation), iPad (6th generation), iPad (7th generation);

iPad Air  iPad Air 2;

iPad Pro (12.9-inch), iPad Pro (9.7-inch), iPad Pro (12.9-inch) (2nd generation), iPad Pro (10.5-inch);

iPad mini, iPad mini 2, iPad mini 3 и iPad mini 4;

iPod touch (5th generation), iPod touch (6th generation), iPod touch (7th generation);

Apple Watch Series 1, Apple Watch Series 2Apple Watch Series 3;

Apple TV (3rd generation), Apple TV (4th generation)Apple TV 4K.

checkm8漏洞支持的设备:

目前,此漏洞利用程序适用于基于以下处理器的设备:s5l8947xs5l8950xs5l8955xs5l8960xt8002t8004t8010t8011t8015

 

什么是Checkra1n

Checkra1n是基于checkm8漏洞的半捆绑式越狱。 基本上,checkra1n开发人员可以在iOS加载过程的第一阶段获得执行其代码的权限(checkm8可以提供相同的功能)。 因此,他们更改了整个加载过程,以便在设备加载后,研究者可以对文件系统具有根访问权限,并且现在可以执行任何未签名的代码。

 

安装(在macOS上)

从官方网站下载所需的MacOS版本

双击运行下载的.dmg文件

在打开的窗口中,将checkra1n图标拖到应用程序

3.png

用法:GUI模式

在GUI模式下运行和安装checkra1n:

打开Mac上的Applications文件夹

右键单击checkra1n图标并从下拉列表中选择Open

在类似的窗口中选择打开程序

如果应用程序没有打开,则通过双击再次运行它

连接设备,等待设备被检测到,然后按下Start

4.png

单击Next,设备将加载恢复模式

点击Start,按照说明将设备置于DFU模式

5.png

如果设备没有进入DFU模式,请单击“Retry”再试一次

6.png

等待安装完成

如果安装成功,调查人员可以使用44端口通过USB访问SSH

安装完成后,checkra1n应用程序将被添加到设备主屏幕。要安装Cydia(非官方的AppStore),运行checkra1n,单击Cydia并安装它。

7.png

注意如果设备已经进入DFU模式,并且停止响应(黑屏),或者在打补丁系统内核的同时,设备屏幕上出现了运行日志文本,则同时按住侧边键和主键(或调低音量),直到设备重新启动。

 

用法CLI模式

要在控制台模式下运行checkra1n,请在Mac上启动终端应用程序并输入以下命令:

cd “/Applications/checkra1n.app/Contents/MacOS”

./checkra1n_gui –

checkra1n的控制台版本将启动。在DFU模式下连接设备,越狱将自动安装。

注意应在拖动checkra1n后输入命令。应用程序到MacOS上的应用程序文件夹。

 

GUICLI模式有什么区别

CLI模式下运行checkra1n时,不验证设备型号iOS版本

根据我们的经验checkra1n的所有版本都可以CLI模式安装 iOS 13.2.3-13.3的设备

版本之间的重要区别

iOS 13.2.3-13.3的设备上安装checkra1n 0.9.60.9.7版本时,重新加载设备后将处于USB受限模式,直到解锁

USB限制模式不允许checkra1n完成其安装,SSH连接将无法工作

iOS 12.4安装checkra1n 0.9.7时,切换了几次USB限制模式。目前还不清楚为什么会发生这种情况。

在安装之前的checkra1n版本(0.90.9.5)时,无论iOS版本如何,USB限制模式都不会打开。因此,之前的checkra1n版本不需要解锁设备即可安装在iOS设备上并用于访问SSH连接。

Checkra1n痕迹

要删除使用checkra1n的明显痕迹:

如果未安装Cydia,则只需重启设备即可。

如果已安装Cydia

1. 在您的设备上打开Checkra1n应用。按还原系统。设备原始文件系统将被还原。

2. 从技术上讲,越狱已从手机中删除,但Cydia应用仍然存在。

3. 再次安装checkra1n而不安装Cydia应用程序。

4. iPhone连接到PC,打开终端窗口,使用以下命令:

/usr/bin/ruby -e “$(curl -fsSL https://raw.githubusercontent.com/Homebrew/install/master/install)”

5. 然后再使用以下命令:

brew install libimobiledevice

6. 打开一个新的终端窗口,并使用以下命令:

iproxy 2222 44

7. 使“终端”窗口保持打开状态。按CMD + T键打开一个新选项卡,然后使用命令:

ssh root@localhost -p 2222

注意:如果您还没有手动更改密码,则该密码将为alpine”。

8. 输入Yes,然后按Enter键。在“终端”窗口中输入以下文本,然后再次按Enter键:

uicache–all

9. 这个过程需要一些时间。完成后,输入以下命令:

killall SpringBoard

10. 重新启动设备,删除checkra1n应用程序。

注意:重新启动设备后,checkra1n图标可能不会立即消失。

删除Checkra1n的可见痕迹后,一些与Checkra1n相关的文件可能会保留在设备文件系统中。但是,如果设备没有越狱,这些目录是无法访问的。

请注意,从Oxygen Forensic Detective 12.2完全支持带有checkra1nApple iOS设备。

引用:《forensic focus》

30779f83-4bd9-4709-9979-92adf988c6d0.jpg


下一篇:Mac 取证操作流程

上一篇:手机数据获取之华为手机备份

联系我们
  •    北京
  • 电话:010-62983123
  • 地址:北京市海淀区信息路15号616
  •    天津
  • 电话:022-23737908
  • 地址:天津市华苑产业区开华道22号普天大厦东塔5层
Copyright © 2002-2020 Timehost Technology Co.,Ltd 北京天鉴科技有限公司 | 北京天宇宏远科技有限公司 京ICP备05073270号