Elcomsoft Phone Viewer
Elcomsoft Phone Viewer предлагает удобный интерфейс для просмотра информации, извлечённой из локальных и «облачных» резервных копий устройств под управлением Apple iOS и данных, извлечённых из учётных записей Microsoft. С его помощью можно просмотреть пользовательские контакты, прочитать сообщения, просмотреть список звонков, данные заметок и календаря, проанализировать действия пользователя в Интернете. При работе с резервными копиями данных устройств под управлением Apple iOS с помощью Elcomsoft Phone Viewer можно просмотреть удалённые сообщения – SMS и iMessage.
Расширение линейки продуктов
Ещё один инструмент для просмотра данных из мобильных устройств? Пользователям наших инструментов мобильной криминалистики нужен инструмент для просмотра полученных данных. Среди массы существующих решений мы не нашли ни одного, удовлетворяющего нашим требованиям к совместимости, стабильности и удобству использования. Elcomsoft Phone Viewer идеально вписывается в линейку продуктов ElcomSoft для мобильной криминалистики, позволяя просматривать данные, извлечённые и расшифрованные с помощью Elcomsoft Phone Breaker.
Elcomsoft Phone Viewer полностью совместим с другими инструментами «Элкомсофт» для мобильных криминалистов, поддерживает все форматы данных, сохраняемые программами iOS Forensic Toolkit и Elcomsoft Phone Breaker и обновляется одновременно с выходом новых версий наших инструментов для извлечения данных. Elcomsoft Phone Breaker – идеальный инструмент для пользователей нашей линейки продуктов!
Сценарий использования Elcomsoft Phone Viewer подразумевает первоначальное извлечение (при необходимости - с подбором правильного пароля) пользовательских данных с помощью одного из продуктов компании: iOS Forensic Toolkit (физическое извлечение данных из устройств под управлением Apple iOS) либо Elcomsoft Phone Breaker (извлечение данных из «облачных» хранилищ и файлов резервных копий устройств под управлением Apple iOS, а также данных, извлечённых из учётных записей Microsoft).
C помощью Elcomsoft Phone Viewer можно просматривать защищённые паролем резервные копии данных, созданные с помощью iTunes, но только в том случае, если пароль известен. Если же файл защищён неизвестным паролем, то пароль потребуется предварительно восстановить с помощью Elcomsoft Phone Breaker.
Просмотр данных из «облачных» хранилищ
Elcomsoft Phone Viewer – идеальный инструмент для просмотра данных, извлечённых из «облачных» хранилищ с помощью Elcomsoft Phone Breaker. Поддерживаются образы данных, извлечённые из Apple iCloud и iCloud Drive (для iOS 9 и более новых), а также учётных записей Microsoft.
Elcomsoft Phone Viewer оптимизирован для работы в связке с другими продуктами компании. Так, с помощью Elcomsoft Phone Breaker можно быстро извлечь основную информацию из «облачного» хранилища Apple iCloud и учётных записей Microsoft. Просмотреть извлечённую информацию можно с помощью Elcomsoft Phone Viewer. Совместное использование обоих продуктов способно ускорить расследование и упростить извлечение и анализ данных пользователя, включающих историю звонков и сообщений, телефонные книги и координаты на карте.
Просмотр синхронизированных с iCloud данных
Синхронизированные данные попадают в iCloud с минимальной задержкой и независимо от основных резервных копий. Эти данные доступны даже тогда, когда создание резервных копий в iCloud отключено. С помощью Elcomsoft Phone Viewer можно просмотреть синхронизированные данные, извлечённые с помощью Elcomsoft Phone Breaker. Поддерживается просмотр таких данных, как синхронизированные журналы звонков, контакты, календари, заметки, закладки и история действий пользователя в браузере Safari, включая удалённые записи.
История браузера Safari из синхронизированных данных извлекается и отображается за длительный срок. Извлекается больше информации, чем доступно в самом устройстве и его локальных копиях. Доступен фильтр для просмотра удалённых записей. Для просмотра доступны следующие типы данных:
- Сообщения SMS и iMessage, синхронизированные с iCloud, включая вложенные фотографии, медиафайлы и документы
- Данные о состоянии организма и активности пользователя из приложения Apple Health
- Записи, сделанные в приложении Диктофон
- Браузер Safari (история, закладки, открытые вкладки)
- Календари, заметки, контакты
- Подробная история звонков
- Карты Apple Maps (маршруты, поисковые запросы, отмеченные объекты)
- Wi-Fi (информация о точках доступа, MAC-адреса, дата и устройство, с которого были добавлены)
- Кошелёк Wallet (кроме платёжных карт)
- Информация о пользователе (адрес, телефоны, имя) и его устройствах (включая серийные номера и версию ОС)
Анализ низкоуровневых данных: просмотр образов файловой системы
С момента выхода iPhone 5s, первого устройства Apple под управлением 64-разрядного процессора, процесс и результат физического извлечения данных кардинально изменились. Если для 32-битных моделей (iPhone 5c и более старых) существовала возможность снятия и расшифровки полного образа раздела данных, то для 64-разрядных моделей, оборудованных подсистемой безопасности Secure Enclave, доступно копирование файловой системы.
Снятие образа файловой системы с точным воссозданием путей к файлам и структуры директорий осуществляется в инструментарии для мобильных криминалистов Elcomsoft iOS Forensic Toolkit. Команда отрабатывается самим устройством средствами операционной системы iOS. Результат работы – образ файловой системы, запакованный в архив в формате TAR. С помощью Elcomsoft Phone Viewer можно просматривать и анализировать содержимое образа файловой системы iOS, запакованного в виде архива TAR.
Экспорт данных
Elcomsoft Phone Viewer позволяет экспортировать данные, извлечённые из устройств под управлением iOS, в формат Microsoft Excel. Экспортируются данные из локальных и облачных резервных копий iOS, синхронизированные данные из облака iCloud, а также данные из образов файловой системы, полученных в результате физического анализа устройств iPhone и iPad. История местоположения пользователя сохраняется в формате KML. Благодаря поддержке экспорта данных эксперты смогут продолжить работу с собранной информацией при помощи сторонних инструментов и популярных пакетов криминалистического анализа.
Скорость и компактность
Elcomsoft Phone Viewer – это быстрый, компактный и лёгкий в освоении продукт. Высокая скорость работы, малый размер установки, простой и понятный интерфейс выгодно отличают Elcomsoft Phone Viewer от продукции «монстров» индустрии, предлагающих пакеты «всё в одном», для эффективного использования которых требуется мощная техника и прохождение специальных курсов. От большинства аналитических пакетов для криминалистов Elcomsoft Phone Viewer выгодно отличается ценой, размером, простотой использования и отсутствием необходимости обучения.
Доступ к уведомлениям iOS
Уведомления – важная часть iOS. Уведомления приходят от почтовых клиентов, от приложений мгновенного обмена сообщениями, от онлайновых банков и магазинов, служб бронирования билетов, доставки и вызова такси; от форумов и социальных сетей. Пользователь может ежедневно получать десятки и сотни уведомлений, многие из которых остаются непрочитанными. Все непрочитанные уведомления, которые не были удалены пользователем, попадают в резервные копии iOS как в «облаке» iCloud, так и в локальные, создаваемые с помощью iTunes. В резервных копиях уведомления могут храниться до нескольких лет. Их анализ может дать недостающую информацию, важную для расследования. Elcomsoft Phone Viewer позволяет просматривать и экспортировать уведомления приложений из «облачных» и локальных резервных копий.
Поиск и фильтрация данных
Elcomsoft Phone Viewer идеально приспособлен для быстрой обработки больших объёмов информации. С помощью Elcomsoft Phone Viewer легко найти нужные записи и сообщения, воспользовавшись функцией полнотекстового поиска или фильтрации данных.
Поиск и фильтры работают в реальном времени и обеспечивают моментальный вывод результата. Поддерживается полнотекстовый поиск по всем полям данных, включая тело сообщений. Функция фильтрации доступна для контактов, заметок, истории звонков и сообщений. С помощью фильтра можно отобразить записи, укладывающиеся в определённый временной промежуток, принадлежащие к определённой учётной записи или содержащие определённую комбинацию символов в любом из доступных полей. Для звонков и сообщений доступны режимы отображения всех записей, только входящих или только исходящих.
Анализ действий пользователя в Интернетe
Анализ активности пользователя – его поисковых запросов, просмотренных веб-страниц и открытых в браузере вкладок, – необходимая часть любого расследования. С помощью анализа поисковых запросов было раскрыто не одно преступление, а свидетельства посещения тех или иных ресурсов – важная часть доказательной базы в ряде расследований.
С помощью Elcomsoft Phone Viewer можно проанализировать историю поисковых запросов пользователя, журнал посещённых страниц, список закладок, а также список вкладок браузера, включающий миниатюрные изображения открытых страниц.
Анализ переписки в Signal и Telegram, включая секретные чаты
Signal – одна из самых хорошо защищённых программ для мгновенного обмена сообщениями. База данных Signal не синхронизируется с облаком и не попадает в iCloud или локальные резервные копии. Данные на устройстве зашифрованы нестандартным алгоритмом, а ключ шифрования хранится в Связке ключей с высокой категорией защиты.
Единственный способ получить доступ к базе данных Signal – физический анализ, в процессе которого снимается образ файловой системы и расшифровывается Связка ключей. Elcomsoft Phone Viewer позволяет расшифровать историю Signal из образа файловой системы при помощи Связки ключей, извлечённой посредством Elcomsoft iOS Forensic Toolkit. Эксперт получает доступ к информации об учётной записи пользователя, журналу звонков и полной истории сообщений включая вложения (вложения Signal хранятся в незашифрованном виде).
При том, что Telegram не входит в число самых хорошо защищённых программ для мгновенного обмена сообщениями (этот титул по праву принадлежит Signal), в Telegram существует возможность организовать безопасную сессию – секретный чат. Секретные чаты используют сквозное шифрование, что позволяет получить доступ к сообщениям только участникам чата. Перехват или расшифровка защищённой сквозным шифрованием переписки невозможна, в том числе для персонала Telegram. Более того, секретные чаты, в отличие от обычных чатов, не сохраняются на серверах Telegram; сообщения могут быть прочитаны только на устройстве, которое участвует в переписке.
Elcomsoft Phone Viewer отображает обычные и секретные чаты Telegram, извлечённые из образа файловой системы iPhone, полученного при помощи Elcomsoft iOS Forensic Toolkit в процессе работы агента-экстрактора или извлечения посредством джейлбрейка.
Фото и видео
Начиная со второй версии продукта, в Elcomsoft Phone Viewer встроен универсальный инструмент для просмотра изображений и видео, снятых или полученных пользователем устройства. Пользователям Elcomsoft Phone Viewer не придётся отыскивать нужные файлы в огромной галерее. Программа автоматически разложит фотографии и видеоролики по папкам. Файлы, снятые с использованием встроенной в телефон камеры, будут отображаться отдельно от фотографий, полученных в виде вложений, а изображения из системных и пользовательских программ (кнопки, меню, логотипы и заставки) отображаются в отдельной папке. Доступен режим просмотра с автоматической разбивкой медиа-файлов по альбомам.
iCloud Photo Library
Начиная с версии 2.30, Elcomsoft Phone Viewer поддерживает просмотр фотографий, извлечённых из iCloud Photo Library с помощью Elcomsoft Phone Breaker. Поддерживается автоматическая разбивка по альбомам и фильтрация изображений (по типу данных и дате).
Беспроводные подключения Wi-Fi
Инструмент для просмотра подключений к сохранённым беспроводным соединениям Wi-Fi позволяет просматривать список SSID и паролей для сетей Wi-Fi, сохранённых в резервных копиях iOS, но и определять дату и время как первого, так и самого недавнего подключения к точке доступа. Кроме того, доступна информация о BSSID точек доступа и используемом алгоритме шифрования.
Сортировка списка сетей по дате последнего доступа позволит узнать, к каким сетям и в каком порядке подключался пользователь в течение заданного промежутка времени.
Установленные приложения
Пользователи Elcomsoft Phone Viewer могут просматривать весь список установленных на iPhone или iPad приложений. Отображаются версии приложений, даты и времени приобретения (покупки или первого скачивания, если приложение бесплатное), а также использованная для покупки учётная запись Apple Account. Часть этих данных недоступна в самой резервной копии устройства, и автоматически запрашивается через iTunes.
Доступ к списку установленных приложений позволяет быстро определить, в каких социальных сетях и через какие программы обмена сообщениями общается пользователь, в каких банках имеет счета и в каких приложениях знакомится.
Поддержка тегов EXIF
В тегах EXIF содержится информация о месте, времени и параметрах фотосъёмки, условиях освещения и технических характеристик камеры или фотоаппарата. Все эти данные извлекаются и отображаются в Elcomsoft Phone Viewer. Требуется найти фотографии, снятые в день расследуемого инцидента? В Elcomsoft Phone Viewer встроен фильтр, позволяющий задать временной промежуток и отображающий только те фотографии, которые были сняты в течение указанного времени.
Агрегация данных о местоположении
Данные о местоположении извлекаются из многочисленных источников, включая фотографии, сообщения и вложения iMessage, системные журналы, временные файлы и области данных отдельных приложений (Uber, Google Maps, Apple Maps и прочих).
В современных смартфонах координаты места съёмки автоматически сохраняются в EXIF-тегах каждого снимка. Привязка и отображение этих координат на карте позволит эксперту узнать точное место, в котором был сделан тот или иной кадр.
Данные, извлечённые из всех источников, отображаются в виде единого списка, проанализировав который можно понять, где находился пользователь устройства в рамках заданного промежутка времени. Анализ координат позволит представить маршрут передвижения пользователя в течение заданного временного промежутка.
Пароли Экранного времени
В iOS 12 появился пароль Экранного времени, который хранится в связке ключей с высокой категорией защиты. И если в iOS 12 пароли Экранного времени можно извлекать из локальных резервных копий с паролем (если сам пароль известен), то для более новых версий системы единственным способом узнать пароль Экранного времени является облачное извлечение посредством Elcomsoft Phone Breaker.
Elcomsoft Phone Viewer автоматически восстанавливает пароли ограничений и извлекает пароль Экранного времени.
Данные приложения Здоровье (Apple Health)
Приложение «Здоровье» (Apple Health), доступное во всех последних версиях iOS, собирает подробные данные о здоровье и активности пользователя – количество шагов, виды активности (сон, бег, ходьба, спортивные тренировки и так далее), которые были собраны датчиками самого iPhone, одного из сторонних устройств или введены вручную. В приложении «Здоровье» агрегируются данные с iPhone, Apple Watch, данные из программ и с устройств Bluetooth, поддерживающих стандарт HealthKit.
Собранные из многочисленных источников и обработанные на iPhone данные попадают в резервные копии iTunes (при условии, что на резервную копию установлен пароль). Кроме того, данные «Здоровья» могут извлекаться из образа файловой системы устройств iOS. Такие образы создаются в процессе физического анализа iPhone при помощи Elcomsoft iOS Forensic Toolkit или комплекса GrayKey.
Elcomsoft Phone Viewer предоставляет удобный инструментарий для просмотра и анализа данных «Здоровья», скачанных из "облака" iCloud посредством Elcomsoft Phone Breaker или извлечённых из зашифрованных резервных копий в формате iTunes. Кроме того, данные "Здоровья" можно просмотреть напрямую из образа файловой системы iPhone в формате TAR или ZIP.
Ценность информации об активности пользователя трудно переоценить. Данные о том, в какие моменты времени пользователь был неподвижен, шёл или бежал могут стать ценными уликами в процессе расследования. Если же использовалось дополнительное устройство (к примеру, Apple Watch), то объём и детализация данных значительно возрастают: могут стать доступными такие данные, как пульс и сердечный ритм пользователя, количество потраченных калорий, информация о сне, падениях и многое другое. Привязка данных об активности пользователя ко времени происшествия может дать ключ к расследованию и усилить доказательную базу.
Просмотр и анализ Связки ключей
Elcomsoft Phone Breaker - единственный на рынке инструмент, позволяющий извлекать Облачную связку ключей из Apple iCloud. Elcomsoft Phone Viewer получил возможность просмотра и анализа данных как Облачной связки ключей, извлекаемой из iCloud утилитой Elcomsoft Phone Breaker, так и Связки ключей, которая извлекается из локальных резервных копий с паролем в формате iTunes либо непосредственно из устройств под управлением iOS при помощи инструментария Elcomsoft iOS Forensic Toolkit. Ранее данная возможность присутствовала исключительно в приложении Elcomsoft Phone Breaker.
Анализ чатов Signal и Telegram
Elcomsoft Phone Viewer поддерживает просмотр и анализ данных из истории переписки пользователей Signal и Telegram, извлечённых из образа файловой системы в формате TAR посредством Elcomsoft iOS Forensic Toolkit. При помощи Elcomsoft Phone Viewer можно просматривать как обычные, так и секретные чаты, сообщения, списки контактов пользователя, а также отправленные и полученные файлы.
Позиционирование продукта
Elcomsoft Phone Viewer позиционируется как простой в освоении и использовании продукт для быстрого просмотра и анализа данных, извлечённых из мобильных устройств или резервных копий с помощью других продуктов ЭлкомСофт. Elcomsoft Phone Viewer не требователен к ресурсам и не требует обучения для начала работы. Возможностей продукта будет достаточно для большинства отделов информационной безопасности предприятий, офисов и расследований единичных инцидентов.
Возможности продукта
- Поддержка резервных копий всех версий iOS (как локальных, так и «облачных»)
- Поддержка частичных копий, извлечённых из iCloud/iCloud Drive в режиме выборочного скачивания (для всех версий iOS)
- Встроенная поддержка локальных резервных копий iOS, защищённых известным паролем (неизвестные пароли требуется предварительно восстановить с помощью Elcomsoft Phone Breaker)
- Поддержка образов файловой системы iOS в формате TAR, извлечённых в результате физического анализа
- Анализ действий пользователя в Интернете
- Извлечение истории переписки SMS и iMessage из "облачного" сервиса iCloud, включая вложенные медиафайлы и документы
- Галерея фото и видео с поддержкой альбомов, фильтрации по категориям, дате и времени, а также аудиозаписи приложения Диктофон
- Извлечение и анализ тегов EXIF, автоматическое определение местоположения устройства в момент съёмки
- Просмотр iCloud Photo Library с автоматической фильтрацией и разбивкой по альбомам
- Просмотр синхронизированных с iCloud данных (журналов звонков, заметок, вкладок и истории посещения страниц в браузере Safari)
- Быстрый вызов карт Google Maps для отображения координат пользователя
- Полное и выборочное экспортирование фото и видео
- Автоматическая сортировка изображений и видео по категориям (Камера, Вложения, Прочее)
- Системная графика (иконки, логотипы и т.п.) автоматически сортируется в папку «Прочее»
- Быстрый поиск и фильтрация по ряду параметров, включая дату и время
- Редакции для Windows и macOS
- Поддержка новейших устройств компании Apple вплоть до iPhone 14 Pro Max и последних моделей планшетов iPad и iPad Pro
Trial | Standard | Forensic | |
---|---|---|---|
Источники данных | |||
Резервные копии iTunes | ✓ | ✓ | ✓ |
Зашифрованные резервные копии iTunes backups (пароль известен) | ✓ | ✓ | ✓ |
Резервные копии, загруженные с помощью Elcomsoft Phone Breaker из iCloud | ✓ | ✓ | ✓ |
Синхронизированные данные, загруженные с помощью Elcomsoft Phone Breaker из iCloud | ✓ | ✓ | ✓ |
Образ устройства iOS полученный с помощью Elcomsoft iOS Forensic Toolkit или GrayKey | - | - | ✓ |
Резервные копии BlackBerry | ✓ | ✓ | ✓ |
Данные из учётных записей Microsoft | ✓ | ✓ | ✓ |
Просмотр | |||
Calls, Contacts, Calendars, Tasks | Последние 10 записей | ✓ | ✓ |
Apple Health | Не более 10 последних записей в каждой категории | ✓ | ✓ |
iCloud photos | Копирование данных о файле не разрешено | ✓ | ✓ |
Media files | Копирование данных о файле не разрешено | ✓ | ✓ |
SMS & iMessages | Последние 10 записей | ✓ | ✓ |
Notes | Последние 10 записей | ✓ | ✓ |
Notifications | Последние 10 записей | ✓ | ✓ |
Voice Memos | Последние 10 записей | ✓ | ✓ |
Web and History data | Последние 10 записей | ✓ | ✓ |
Wi-Fi connections | Последние 10 записей | ✓ | ✓ |
Skype data | Последние 10 записей | ✓ | ✓ |
Keychain | Отображаются только два первых символа из расшифрованных паролей | ✓ | ✓ |
Apple Pay | - | - | ✓ |
Сообщения мессенджера Signal | - | - | ✓ |
Сообщения мессенджера Telegram | - | - | ✓ |
Экспорт | |||
Microsoft Excel | - | Только категории Контакты и Заметки | ✓ |
Поддерживаемые типы данных
С помощью Elcomsoft Phone Viewer можно просмотреть следующую информацию:
Системные данные
- Модель и название устройства
- Серийный номер устройства
- Дата и время создания резервной копии
- Другую системную информацию (для iOS устройств: IMEI, ID устройства, номер телефона, версия iOS)
Пользовательские данные
- Образ файловой системы (TAR)
- Контакты (включая контакты Facebook, Gmail и т.п.)
- Сообщения (для резервных копий устройств iOS можно просматривать также и удалённые сообщения SMS и iMessage)
- Сообщения и вложения iMessage, извлечённые из iCloud
- Данные приложения Apple Health
- Записи приложения Диктофон
- История местоположения
- Уведомления
- Заметки
- Журнал звонков (включая FaceTime)
- Список сетей Wi-Fi с паролями, датой и временем первого/последнего подключения
- Список установленных приложений, включая версию, дату приобретения и учётную запись (iOS)
- Календарь (для всех учетных записей, включая локальные, Microsoft Exchange и iCloud)
- Фото и видео
- iCloud Photo Library
- История поисковых запросов и посещений, закладки и открытые браузерные вкладки
- Пароли ограничений и Экранного времени
- Переписка в Signal и Telegram, включая секретные чаты
- Данные Windows 10 Timeline
- Файлы OneDrive и файлы из защищённого хранилища OneDrive Personal Vault
Elcomsoft Phone Viewer может работать с резервными копиями данных как в оригинальном формате iTunes, так и с развёрнутой структурой и восстановленными именами файлов. Также возможен просмотр отдельных категорий данных, извлечённых из «облачного» хранилища iCloud.
Поддерживаемые устройства
Elcomsoft Phone Viewer позволяет просматривать данные, сохранённые следующими устройствами:
Apple iOS 6 - iOS 16, iPadOS (резервные копии, созданные iTunes и iCloud):
- iPhone (все версии от iPhone 3GS до актуальных моделей)
- iPad (все версии вплоть до актуальных моделей, включая все версии iPad Air, iPad Mini и iPad Pro)
- iPod Touch (начиная с 4-го поколения)
Microsoft Account
- Данные, извлечённые из учётных записей Microsoft
Системные требования
Elcomsoft Phone Viewer поддерживает 32- и 64-разрядные редакции Windows 7, 8, 8.1, 10, 11 и серверные версии Windows, macOS (OSX) 11.2 и старше. Для работы продукта установка Apple iTunes не требуется.