DETAILS
關于Checkm8和Checkra1n的所有您想問的問題

【科普】

什么是Checkm8

Checkm8是一種利用程序(利用操作系統或硬件漏洞的程序),旨在iOS設備加載的初始階段獲得對其自身軟件代碼執行的訪問權限。

是什么讓它脫穎而出?

Checkm8的豐富性,確切的說是它所基于的漏洞無法通過軟件(更新或更改)進行修補,因為該漏洞在制造設備芯片的階段,已被合并到只讀存儲器的代碼中,并且無法重寫。這意味著,無論iOS版本如何,所有具有此漏洞的iOS設備都將是危險的

*/

科譜知識:

iOS 安全啟動機制簡介:

為了保證 iOS 系統的代碼不被惡意篡改,蘋果公司使用了一套名為 安全啟動鏈(Secure Boot Chain)的技術。他們將開機過程分為四到五個階段,每個階段負責檢查下個階段的代碼,如果檢查出任何問題,比如簽名錯誤、安全模式不符,就立馬中止開機。

A10處理器之前 iPhone 的開機過程分為以下五個階段:

1.png 

A10 處理器之后,蘋果就已經放棄了雙階段加載,也就是說上圖的那個LLB已經被刪掉了,更新后的啟動流程如下:

2.png 

這四個階段從左到右分別是:

? ROM / Secure ROM:開機啟動時執行的第一段程序,負責檢查并加載接下來的 iBoot

? iBoot:蘋果開發的引導程序,負責檢查并加載系統內核。

? KerneliOS 系統內核。

? OSiOS 系統的用戶界面、后臺服務等非核心組件。

 

Secure ROM 作為系統啟動時執行的第一段程序,扮演著整個安全啟動鏈技術的信任基石。一旦攻破了它,接下來所有階段的代碼都能隨意篡改,因此蘋果公司下了很大功夫來保護這段 ROM 程序:

? 封殺寫權限 :這段程序燒寫在 CPU 的硅片內部,無法拆解,無法替換。在工廠里一次性燒錄完之后,就連蘋果自己都沒辦法改動它。

? 封殺讀權限 :這段程序完成工作后,會直接把自己所在的儲存器鎖掉,再沒有任何辦法能讀取它。也就是說,啟動之后哪怕你攻陷了整個系統,也讀不到這段程序的內容。

/*

有哪些限制?

該漏洞僅在隨機訪問內存中執行。這意味著在關閉或重新啟動設備后,它將在正常模式下加載,調查程序將不得不再次執行checkm8

使用Checkm8不能繞過密碼或快速破解密碼,因為密碼處理、生物特征數據和基于它們的數據加密是在安全處理器中執行的,而Checkm8無法訪問安全處理器。

支持設備列表

支持此漏洞的設備:

所有基于處理器的設備: s5l8940x (A5), s5l8942x (A5 Rev A), s5l8945x (A5X), s5l8947x (A5 Rev B), s5l8950x (A6) , s5l8955x (A6X), s5l8960x (A7), t8002 (including S1P and S2), t8004 (S3), t8010 (A10), t8011 (A10), t8015, (A11), s5l8747x (Haywire video adapters processor), t7000 (A8), t7001 (A8X), s7002 (S1), s8000 (A9), s8001 (A9X), s8003 (A9) and t8012 (used in iMac Pro);

所有 iPhones  iPhone 4S iPhone X;

iPad 2, iPad (3rd generation), iPad (4th generation), iPad (5th generation), iPad (6th generation), iPad (7th generation);

iPad Air  iPad Air 2;

iPad Pro (12.9-inch), iPad Pro (9.7-inch), iPad Pro (12.9-inch) (2nd generation), iPad Pro (10.5-inch);

iPad mini, iPad mini 2, iPad mini 3 и iPad mini 4;

iPod touch (5th generation), iPod touch (6th generation), iPod touch (7th generation);

Apple Watch Series 1, Apple Watch Series 2Apple Watch Series 3;

Apple TV (3rd generation), Apple TV (4th generation)Apple TV 4K.

checkm8漏洞支持的設備:

目前,此漏洞利用程序適用于基于以下處理器的設備:s5l8947xs5l8950xs5l8955xs5l8960xt8002t8004t8010t8011t8015

 

什么是Checkra1n

Checkra1n是基于checkm8漏洞的半捆綁式越獄。 基本上,checkra1n開發人員可以在iOS加載過程的第一階段獲得執行其代碼的權限(checkm8可以提供相同的功能)。 因此,他們更改了整個加載過程,以便在設備加載后,研究者可以對文件系統具有根訪問權限,并且現在可以執行任何未簽名的代碼。

 

安裝(在macOS上)

從官方網站下載所需的MacOS版本

雙擊運行下載的.dmg文件

在打開的窗口中,將checkra1n圖標拖到應用程序

3.png 

用法:GUI模式

在GUI模式下運行和安裝checkra1n:

打開Mac上的Applications文件夾

右鍵單擊checkra1n圖標并從下拉列表中選擇Open

在類似的窗口中選擇打開程序

如果應用程序沒有打開,則通過雙擊再次運行它

連接設備,等待設備被檢測到,然后按下Start

4.png 

單擊Next,設備將加載恢復模式

點擊Start,按照說明將設備置于DFU模式

5.png 

如果設備沒有進入DFU模式,請單擊“Retry”再試一次

6.png 

等待安裝完成

如果安裝成功,調查人員可以使用44端口通過USB訪問SSH

安裝完成后,checkra1n應用程序將被添加到設備主屏幕。要安裝Cydia(非官方的AppStore),運行checkra1n,單擊Cydia并安裝它。

7.png 

注意如果設備已經進入DFU模式,并且停止響應(黑屏),或者在打補丁系統內核的同時,設備屏幕上出現了運行日志文本,則同時按住側邊鍵和主鍵(或調低音量),直到設備重新啟動。

 

用法CLI模式

要在控制臺模式下運行checkra1n,請在Mac上啟動終端應用程序并輸入以下命令:

cd “/Applications/checkra1n.app/Contents/MacOS”

./checkra1n_gui –

checkra1n的控制臺版本將啟動。在DFU模式下連接設備,越獄將自動安裝。

注意應在拖動checkra1n后輸入命令。應用程序到MacOS上的應用程序文件夾。

 

GUICLI模式有什么區別

CLI模式下運行checkra1n時,不驗證設備型號iOS版本

根據我們的經驗checkra1n的所有版本都可以CLI模式安裝 iOS 13.2.3-13.3的設備

版本之間的重要區別

iOS 13.2.3-13.3的設備上安裝checkra1n 0.9.60.9.7版本時,重新加載設備后將處于USB受限模式,直到解鎖

USB限制模式不允許checkra1n完成其安裝,SSH連接將無法工作

iOS 12.4安裝checkra1n 0.9.7時,切換了幾次USB限制模式。目前還不清楚為什么會發生這種情況。

在安裝之前的checkra1n版本(0.90.9.5)時,無論iOS版本如何,USB限制模式都不會打開。因此,之前的checkra1n版本不需要解鎖設備即可安裝在iOS設備上并用于訪問SSH連接。

Checkra1n痕跡

要刪除使用checkra1n的明顯痕跡:

如果未安裝Cydia,則只需重啟設備即可。

如果已安裝Cydia

1. 在您的設備上打開Checkra1n應用。按還原系統。設備原始文件系統將被還原。

2. 從技術上講,越獄已從手機中刪除,但Cydia應用仍然存在。

3. 再次安裝checkra1n而不安裝Cydia應用程序。

4. iPhone連接到PC,打開終端窗口,使用以下命令:

/usr/bin/ruby -e “$(curl -fsSL https://raw.githubusercontent.com/Homebrew/install/master/install)”

5. 然后再使用以下命令:

brew install libimobiledevice

6. 打開一個新的終端窗口,并使用以下命令:

iproxy 2222 44

7. 使“終端”窗口保持打開狀態。按CMD + T鍵打開一個新選項卡,然后使用命令:

ssh [email protected] -p 2222

注意:如果您還沒有手動更改密碼,則該密碼將為alpine”。

8. 輸入Yes,然后按Enter鍵。在“終端”窗口中輸入以下文本,然后再次按Enter鍵:

uicache–all

9. 這個過程需要一些時間。完成后,輸入以下命令:

killall SpringBoard

10. 重新啟動設備,刪除checkra1n應用程序。

注意:重新啟動設備后,checkra1n圖標可能不會立即消失。

刪除Checkra1n的可見痕跡后,一些與Checkra1n相關的文件可能會保留在設備文件系統中。但是,如果設備沒有越獄,這些目錄是無法訪問的。

請注意,從Oxygen Forensic Detective 12.2完全支持帶有checkra1nApple iOS設備。

引用:《forensic focus》

30779f83-4bd9-4709-9979-92adf988c6d0.jpg


下一篇:沒有了

上一篇:手機數據獲取之華為手機備份

聯系我們
  •    北京
  • 電話:010-62983123
  • 地址:北京市海淀區信息路15號616
  •    天津
  • 電話:022-23737908
  • 地址:天津市華苑產業區開華道22號普天大廈東塔5層
Copyright ? 2002-2020 Timehost Technology Co.,Ltd 北京天鑒科技有限公司 | 北京天宇宏遠科技有限公司 京ICP備05073270號
竞彩足球胜平负玩法