本文由Roe编译,陈裕铭校对,转载请注明。
DFU(设备固件更新)是许多Apple设备中提供的一种特殊服务模式,用于通过上传固件的干净副本来恢复损坏的设备。取证专家会在checkm8提取过程中使用DFU模式。与恢复模式不同,DFU模式可在更低级别的系统上运行并且没有记录。DFU模式可能不止有一种,其中有一种更适合于取证采集。本文介绍的方法适用于iPhone 8、8 Plus 和 iPhone X。
准备工作
在开始之前,请确保您已为后续操作做好所有准备。(点击查看我们之前的相关文章)
-
仅需使用USB-A转Lightning的数据线,无需Type-C数据线。
-
为了获得更好的兼容性,请使用Hub而不是USB-C到USB-A转换器。
-
除非您之前练习过,否则将iPhone置于DFU模式很少会在第一次尝试时成功。我们建议在“安全”的设备上练习这些步骤。
-
iPhone 8/X设备有两种略有不同的DFU模式,其中只有一种可以可靠地进行提取。我们无法区分两种DFU模式,因此遵循正确的流程非常重要。如果iPhone被置于错误的DFU模式,则漏洞利用可能会失败,或者您可能会在后续提取步骤中遇到问题。
第1步:进入恢复模式
在将设备置于DFU模式之前,我们建议先进入恢复模式。根据iPhone的开机状态,有两种不同的方法可以做到这一点。
-
如果设备已关闭且未连接到PC:
-
按下并立即释放音量+;
-
按下并立即释放音量-;
-
按住电源键;按住电源时,用Lightning数据线将iPhone连接到电脑。
-
按住电源键,直到看到恢复界面:
如果设备已开机并已连接到 PC:
-
按下并立即释放音量+;
-
按下并立即释放音量-;
-
按住电源键,直到看到恢复界面。
第二步:进入DFU
iPhone处于恢复状态并连接到计算机后,使用以下命令启动 iOS Forensic Toolkit:
./EIFT boot -w在iPhone上:
-
按下并立即释放音量+;
-
按下并立即释放音量-;
-
按住电源键,直到您在计算机上的 iOS Forensic Toolkit 中看到“iPhone 已断开连接”消息。此消息表示 iPhone 已与计算机断开连接。如果您没有使用 iOS Forensic Toolkit,则可以改为检查 Finder。
-
一旦iPhone与计算机断开连接,请按住电源键并按住音量-。
-
保持按住4秒钟,然后松开电源(按住音量-)。
-
一旦设备处于DFU中,iOS Forensic Toolkit 将开始启动iPhone,这时请松开音量-。
注意:如果您按住按钮超过4秒,iPhone 将重新启动,而不是进入DFU模式。
在macOS中,无论设备处于DFU模式还是恢复模式中,Finder都会更多地显示iPhone处于恢复模式。但是,在恢复模式中,您将同时看到更新和还原,而在DFU模式中,您只会看到恢复(更新按钮将被禁用)。
原文链接:
https://blog.elcomsoft.com/2022/09/entering-dfu-iphone-8-8-plus-and-iphone-x/
原文始发于微信公众号(数据安全与取证):进入DFU模式:iPhone 8、8 Plus和iPhone X
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论