checkm8提取速查表：iPhone、iPad

准备工作

在开始之前, 确保您拥有执行提取所需要的一切条件。由于checkm8是一个非常特殊的漏洞, 您需要执行以下所有操作。

· 一台Mac电脑

您需要使用一台真正的Mac计算机(不是虚拟机) 安装漏洞并执行提取. 软件支持基于Intel和M1芯片的MAC电脑。

· Mac的iOS Forensic Toolkit 8

请注意,您需要该工具的Mac版本。

·支持漏洞利用的iPhone或iPad设备(完整的列表位于页面底部)

设备必须能被置于DFU模式。支持锁定和USB受限的设备。

· 锁屏密码必须已知或者为空

否则，有限的BFU提取可能可用，但通过这种方式只能获得很少的数据。

· 支持漏洞利用的iOS版本

请注意，运行iOS 16.x的iPhone设备仅对checkm8提取提供有限的帮助。

· 一条USB-A转Lightning数据线

不支持Type-C转Lightning数据线。 建议使用USB-A到Type-C适配器，更推荐使用USB集线器。

· 您必须确定iPhone上安装的iOS的确切版本和内部版本号. EIFT将尝试自动检测iOS版本和内部版本号。

注：您必须能够下载与设备上安装的iOS版本匹配的官方Apple固件(提取过程中将提供下载链接)

提取iOS 15及更早版本的设备

首先，禁用设备的自动引导功能，以避免在DFU序列错误时重新启动到iOS。禁用自动引导:

如果设备已打开，请关闭设备电源。

将设备置于恢复模式并将其连接到计算机。设备屏幕应显示“连接到iTunes”。

在计算机上，执行以下命令:

./EIFT_cmd tools autobootFalse

（在使用./EIFT_cmd tools autobootTrue 归还被检查的设备之前重新启用自动引导）。

在等待模式下执行EIFT:

./EIFT_cmd boot -w

如果设备未处于恢复模式,则将其置于恢复模式。

从恢复模式中，将设备置于DFU模式。一旦设备处于DFU模式，EIFT将自动检测此设备并应用该漏洞。之后，执行以下命令:

./EIFT_cmd ramdisk loadnfcd
./EIFT_cmd ramdisk unlockdata -s
./EIFT_cmd ramdisk keychain -o {filename}
./EIFT_cmd ramdisk tar -o {filename}

在归还被检查的设备之前重新启用自动引导(注意：如果您打算继续使用该设备，请不要重新启用自动引导):

./EIFT_cmd tools autobootTrue

关闭设备电源:

./EIFT_cmd ssh halt

提取iOS 16设备

首先，禁用设备的自动引导功能，以避免在DFU序列错误时重新启动到iOS。禁用自动引导:

如果设备已通电，请关闭设备电源。

将设备置于恢复模式并将其连接到计算机。设备屏幕应显示“连接到iTunes”。

在计算机上，运行以下命令:

./EIFT_cmd tools autobootFalse

（在使用 ./EIFT_cmd tools autobootTrue 归还被检查的设备之前重新启用自动启动）。

在等待模式下运行EIFT:

./EIFT_cmd boot -w

如果设备未处于恢复模式，请将其置于恢复模式。

从恢复模式，将设备置于DFU模式。一旦设备处于DFU中，EIFT将自动检测此设备并且应用该漏洞。

请注意：您需要从Apple服务器下载匹配的固件文件，或在出现提示时指定下载链接。

之后，执行以下命令:

./EIFT_cmd ramdisk unlockdata
./EIFT_cmd ramdisk keychain -o {filename}
./EIFT_cmd ramdisk tar -o {filename}

在归还被检查的设备之前重新启用自动引导(注意：如果您打算继续使用该设备，请不要重新启用自动引导):

./EIFT_cmd tools autobootTrue

关闭设备电源：

./EIFT_cmd ssh halt

进入DFU模式

如果你从未尝试过，那么将设备置于DFU模式可能会比较棘手。不同设备型号进入DFU的步骤是不同的, 并且屏幕上不会显示成功进入DFU的指示。您必须在仔细观察计时的同时遵循这些步骤，最终屏幕将显示一个空白屏幕。 我们强烈建议先将设备置于恢复模式，然后从恢复模式中进入DFU模式。

iPhone 6s、6s Plus 及更早版本

步骤1：进入恢复模式

iPhone 7、iPhone 7 Plus ：

· 确保设备已关机。

· 按住音量-按钮

· 继续按住按钮，将iPhone连接到计算机。

· 持续按住按钮，直到设备显示屏幕恢复。

在iPhone 6s和更早的设备上，包括iPhone SE（第 1 代）:

· 确保设备已关闭电源；

· 按住Home按钮；

· 继续按住按钮，将 iPhone 连接到计算机.

· 持续按住按钮，直到设备显示屏幕恢复。

步骤2：进入DFU模式

在iPhone 6s及更早版本的裝置上，包括iPhone SE（第1代）：

· 按下电源按钮（或侧边按钮）和主屏幕（触控ID）按钮并保持8秒钟。

· 松开电源（侧面）按钮; 按住Home键8秒钟。

iPhone 7和7 Plus:

· 按侧面按钮和音量-按钮并保持8秒。

· 松开侧边按钮，按住音量-并保持8秒钟。

iPhone将依然显示黑屏，如果你看到恢复屏幕或设备开始启动到iOS，请从头开始重复以上步骤。

iPhone 8、8 Plus 和 iPhone X

基于A11 仿生的设备有两种略有不同的DFU模式。 将设备置于正确的DFU模式是成功采集的关键。正确的进入恢复模式，是其必要的第一步。

步骤1：进入恢复模式

对于iPhone 8、8 Plus和iPhone X设备，请使用以下顺序：

· 确保设备已关机;

· 按住侧边按钮；

· 继续按住按钮，然后快速将iPhone连接到计算机。如果速度不够快，设备可能会开始启动序列。

· 继续按住按钮，直到设备显示屏幕恢复。

步骤2：iPhone 8、8 Plus和iPhone X设备进入DFU模式

保持iPhone与电脑的连接，然后在等待模式下启动iOS Forensic Toolkit:

./EIFT boot -w

iPhone 8、8 Plus 或 iPhone X:

· 迅速按下并释放音量+按钮；

· 迅速按下并释放音量-按钮；

· 按住侧面的按钮，直到iOS Forensic Toolkit显示出”iPhone已断开连接”。此消息表示iPhone已与计算机断开连接。

· 在按住侧边按钮的同时，按住音量-键4秒钟。

· 松开侧边按钮（继续按住音量-键）。

· iOS Forensic Toolkit会检测到iPhone处于DFU模式。一旦发生这种情况，松开音量-按钮。

注意：如果您按住按钮超过4秒，iPhone可能会重新启动而不是进入DFU模式；禁用自动引导并在提取操作前用另一个设备进行练习。

将iPhone放入DFU的其他方法

如果无法通过常规方式将设备放置在DFU中（例如，如果其中一个按钮损坏），请使用以下指南：

https://blog.elcomsoft.com/2021/09/how-to-put-an-ios-device-with-broken-buttons-in-dfu-mode/

iPad、Apple TV和iPod Touch设备的DFU步骤：

https://blog.elcomsoft.com/2021/01/dfu-mode-cheat-sheet/

Checkm8的提取需要一定程度的练习，特别是将设备置入DFU模式。 错误的DFU程序可能会将设备重新启动到iOS系统中。

在提取前用已知的正常设备练习DFU模式!

如果设备运行的是iOS 16，与旧的iOS版本相比，提取步骤将略有不同。

兼容的设备

iOS Forensic Toolkit 8支持以下型号的checkm8提取:

· iPhone 5S (iPhone6,1): A1453, A1533

· iPhone 5S (iPhone6,2): A1457, A1518, A1528, A1530

· iPhone 6 (iPhone7,2): A1549, A1586, A1589

· iPhone 6 Plus (iPhone7,1): A1522, A1524, A1593

· iPhone 6s (iPhone8,1): A1633, A1688, A1691, A1700

· iPhone 6s Plus (iPhone8,2): A1634, A1687, A1690, A1699

· iPhone SE (iPhone8,4): A1662, A1723, A1724

· iPhone 7 (iPhone9,1 и iPhone9,3): A1778, A1660, A1780, A1779, A1853, A1866

· iPhone 7 Plus (iPhone9,2 и iPhone9,4): A1784, A1661, A1785, A1786

· iPhone 8 (iPhone10,1/iPhone10,4): A1863, A1905, A1906, A1907

· iPhone 8 Plus (iPhone10,2/iPhone10,5): A1864, A1897, A1898, A1899

· iPhone X (iPhone10,3/iPhone10,6): A1865, A1901, A1902, A1903

此外，还支持以下型号:

· iPod Touch 6/7: A1574, A2178

· iPad Air 1/2: A1474, A1475, A1476, A1566, A1567

· iPad Mini 2/3/4: A1489, A1490, A1491, A1599, A1600, A1601, A1538, A1550

· iPad 5/6/7: A1822, A1823, A1893, A1954, A2197, A2198, A2200

· iPad Pro 1/2: A1584, A1652, A1670, A1671, A1673, A1674, A1675, A1701, A1709, A1821, A1852, A1934, A1979, A1980, A2013

Checkm8 提取也支持32位设备，如 iPod Touch 5、iPad 2/3/4 和 iPad Mini。但是步骤略有不同，并且有些设备需要一个额外的树莓Pi Pico板来应用该漏洞。