支持:各版本 iPhone、iPad、iPad Pro 和 iPod Touch、第一代 HomePod;Apple Watch、Apple TV 4 和 4K;从 iOS 3 到 iOS 17 的所有 iOS 版本
点击输入图片描述(最多30字) 最新功能突破
适用于 iOS 16.0 - 16.6.1 的完整低级提取和钥匙串解密
低级文件系统提取和钥匙串解密现在可用于比以往更广泛的 iOS 版本。完整的低级提取现已适用于 iOS 16 至 16.6.1。新方法支持采用 A11 和更新芯片构建的设备,有效覆盖 iPhone 8/8 Plus/iPhone X,以及 iPhone Xs/Xr 至 iPhone 14/14 Pro 系列,并支持许多 iPad,包括基于 Apple 的 iPad M1和M2芯片。
增强对旧版设备的支持:在 Windows 和 Linux 中挂载 HFS 镜像
最新版本使 Windows 和 Linux 用户能够挂载从旧版 Apple 设备中提取的 HFS 磁盘镜像。这项新功能使专家能够在 Linux 和 Windows 计算机上高效地处理和分析从旧版 Apple 设备中提取的数字证据。
全功能介绍
对运行 Apple iOS 的 iPhone/iPad/iPod 设备进行取证访问
对 iPhone/iPad/iPod 设备中存储的用户数据进行完整的取证采集。Elcomsoft iOS Forensic Toolkit 允许对设备的文件系统制作镜像、提取设备机密(密码、口令和加密密钥)并通过锁定记录访问锁定的设备。
支持以下提取方法:
高级逻辑获取(备份、媒体文件、崩溃日志、共享文件)(所有设备、所有版本的 iOS)
基于代理的直接提取(所有 64 位设备,选择 iOS 版本)
基于引导加载程序的 checkm8 提取(选择设备),满足取证要求
密码解锁和真实物理获取(选择32位设备)
多平台可用性
iOS Forensic Toolkit 适用于 macOS、Windows 和 Linux。
点击输入图片描述(最多30字) Linux 版本正式支持 Debian、Ubuntu、Kali Linux 和 Mint
完整文件系统提取和钥匙串解密
基于直接访问文件系统的低级提取方法可用于各种 iOS 设备和操作系统版本。该采集方法使用内部开发的提取工具,将提取剂安装到正在采集的设备上。该代理与专家的计算机进行通信,提供强大的性能和极高的提取速度,最高可达每分钟 2.5 GB 的数据。
使用提取代理对于设备本身来说本质上是安全的,因为它既不会修改系统分区,也不会重新安装文件系统。提取代理采用的低级提取技术产生的数据与通过 checkm8 等物理提取方法获得的数据一样多。文件系统镜像和所有钥匙串记录都可以根据操作系统版本进行提取和解密。
可以提取整个文件系统,也可以使用快速提取选项,仅从用户分区获取文件。通过跳过存储在设备系统分区中的文件,快速提取选项有助于减少完成工作所需的时间,并减少静态内容的存储空间。
Windows 和 Linux 用户需要在 Apple 开发者计划中注册的 Apple ID 才能安装和签署提取代理。Mac 用户可以使用常规 Apple ID 来签名和旁加载提取代理。
使用引导加载程序漏洞进行提取,满足取证要求
为了保留数字证据,软件从数据收集的第一步就开始一系列的监管,以确保调查期间收集的数字证据仍然可以被法庭采信。基于引导加载程序的新提取方法可在提取会话中提供可重复的结果。在受支持的设备上使用 iOS Forensic Toolkit 时,第一个提取的镜像的校验和与后续提取的校验和匹配,前提是该设备在提取之间关闭电源,并且在此期间从不启动已安装的 iOS 版本。
新的提取方法是迄今为止最干净的。所有工作完全在 RAM 中执行,并且在提取过程中不会启动设备上安装的操作系统。我们独特的直接提取技术具有以下优点: