ElcomSoft iOS Forensic Toolkit是一款专业可靠的ios设备采集工具,它不仅支持逻辑采集,与物理相比,采用更简单,更安全的采集方法,还提供快速提取媒体文件的功能,如相机胶卷,书籍,录音和iTunes媒体库,即使设置了备份密码,也可快速提取媒体文件和共享文件。
独特数据提取
一、逻辑采集
I设备信息-获取基本设备信息
R RECOVERY INFO-获取恢复/DFU模式下设备的信息
B BACKUP-创建设备的itunes风格备份
M MEDIA-从设备复制媒体文件
S SHARED-复制已安装应用程序的共享文件
L LOGS-复制崩溃日志
二、物理采集(针对越狱设备)
D DISABLE LOCK(禁用锁定)-禁用屏幕锁定(直到重新启动)
K KEYCHAIN-解密设备密钥链
F文件系统-获取设备文件系统(作为TAR存档)
三、Acquisition代理(兼容性有限)
1、安装-在设备上安装采集代理
2、钥匙链-获取设备钥匙链
3、文件系统-获取设备文件系统(作为TAR存档)
4、UNINSTALL-卸载设备上的采集代理
可对多种设备采集
1、对存储在iPhone/iPad/iPod设备中的用户数据进行完整的取证。
elcomsoft ios forensic toolkit允许成像设备的文件系统,提取设备机密(密码,密码和加密密钥)并解密文件系统映像。即刻提供对大多数信息的访问。请注意,某些型号需要越狱。
2、借助钥匙串提取进行逻辑采集
ios forensic toolkit支持逻辑采集,这是一种比物理采集更简单,更安全的采集方法。逻辑获取可为设备中存储的信息生成标准的iTunes风格的备份。虽然逻辑采集返回的信息少于物理信息,但建议专家在尝试更具侵入性的采集技术之前创建设备的逻辑备份。
使用ios forensic toolkit进行逻辑采集是唯一允许访问加密的钥匙串项目的采集方法。逻辑获取应与物理获取结合使用,以提取所有可能的证据类型。
3、iOS设备的物理采集
物理采集是提取完整应用程序数据,受保护的钥匙串项,下载的消息和位置历史记录的唯一采集方法。由于直接低级别访问数据,与逻辑采集相比,物理采集返回更多信息。elcomsoft ios forensic toolkit支持运行大多数版本的iOS7至12的越狱64位设备(iPhone5s和更高版本)。
4、媒体和共享文件提取
elcomsoft ios forensic toolkit提供了快速提取媒体文件的功能,例如相机胶卷,书籍,录音和iTunes媒体库。与创建可能需要很长时间的本地备份不同,媒体提取可以在所有受支持的设备上快速轻松地进行。通过使用配对记录(锁定文件)可以从锁定的设备中提取数据。
除媒体文件外,elcomsoft ios forensic toolkit还可提取多个应用程序的存储文件,无需越狱即可从32位和64位设备提取关键证据。尽管在不越狱的情况下访问应用程序数据受到了限制,但这项新技术允许提取AdobeReader和Microsoftoffice本地存储的文档,MiniKeePass密码数据库等。提取需要未锁定的设备或未到期的锁定记录。如果使用锁定记录,则除非删除锁定屏幕密码,否则某些文件可能无法访问。
可获取提取备份
-使用配对记录(锁定文件)解锁iOS设备
-逻辑获取提取备份,崩溃日志,媒体和共享文件
-通过越狱对64位iOS设备进行物理获取
-提取和解密受保护的钥匙串项
-实时文件系统获取
-自动禁用屏幕锁定,以实现平稳,连续的采集
配置要求
系统要求:
-Windows Server 2016
-Windows Server 2012
-Windows 7(32位)
-Windows 7(64位)
-Windows 8
-Windows 8.1
-Windows 10
兼容的设备和平台:
-带有越狱功能的64位iOS设备:物理获取(文件系统提取,钥匙串解密)
-Apple TV 4(电缆连接)和Apple TV 4K(通过Xcode的无线连接,仅Mac)
-Apple Watch(全部)世代); 需要第三方IBUS适配器
-不越狱:仅高级逻辑获取[1]
逻辑获取包括:
-有关设备的扩展信息
-iTunes格式的备份(包括许多钥匙串项目)
-已安装的应用程序列表
-媒体文件(即使备份受密码保护)
-共享文件(即使备份是密码-受保护的)
