天津鴻萌科貿(mào)發(fā)展有限公司是 ElcomSoft 系列數(shù)據(jù)取證工具的授權(quán)代理商。ElcomSoft 系列取證工具僅提供給取證機構(gòu)及合法數(shù)據(jù)恢復任務。

Elcomsoft iOS Forensics Toolkit 軟件工具包適用于取證工作，對 iPhone、iPad 和 iPod Touch 設備執(zhí)行完整文件系統(tǒng)和邏輯數(shù)據(jù)采集。對設備文件系統(tǒng)制作鏡像，提取設備機密（密碼、加密密鑰和受保護數(shù)據(jù)）并解密文件系統(tǒng)鏡像。

• 完整的文件系統(tǒng)提取和鑰匙串解密
• 邏輯獲取提取備份、崩潰日志、媒體和共享文件
• 舊版設備的密碼解鎖和物理獲取
• 提取并解密受保護的鑰匙串項目
• 通過修改后的引導加載程序，可提取特定 iPhone 和 iPad 型號數(shù)據(jù)，滿足取證要求
• 自動禁用屏幕鎖定以實現(xiàn)平穩(wěn)、不間斷的采集

支持：各版本 iPhone、iPad、iPad Pro 和 iPod Touch、第一代 HomePod；Apple Watch、Apple TV 4 和 4K；從 iOS 3 到 iOS 17 的所有 iOS 版本

最新功能突破

適用于 iOS 16.0 - 16.6.1 的完整低級提取和鑰匙串解密

低級文件系統(tǒng)提取和鑰匙串解密現(xiàn)在可用于比以往更廣泛的 iOS 版本。完整的低級提取現(xiàn)已適用于 iOS 16 至 16.6.1。新方法支持采用 A11 和更新芯片構(gòu)建的設備，有效覆蓋 iPhone 8/8 Plus/iPhone X，以及 iPhone Xs/Xr 至 iPhone 14/14 Pro 系列，并支持許多 iPad，包括基于 Apple 的 iPad M1和M2芯片。

增強對舊版設備的支持：在 Windows 和 Linux 中掛載 HFS 鏡像

最新版本使 Windows 和 Linux 用戶能夠掛載從舊版 Apple 設備中提取的 HFS 磁盤鏡像。這項新功能使專家能夠在 Linux 和 Windows 計算機上高效地處理和分析從舊版 Apple 設備中提取的數(shù)字證據(jù)。

全功能介紹

對運行 Apple iOS 的 iPhone/iPad/iPod 設備進行取證訪問

對 iPhone/iPad/iPod 設備中存儲的用戶數(shù)據(jù)進行完整的取證采集。Elcomsoft iOS Forensic Toolkit 允許對設備的文件系統(tǒng)制作鏡像、提取設備機密（密碼、口令和加密密鑰）并通過鎖定記錄訪問鎖定的設備。

支持以下提取方法：

• 高級邏輯獲取（備份、媒體文件、崩潰日志、共享文件）（所有設備、所有版本的 iOS）
• 基于代理的直接提取（所有 64 位設備，選擇 iOS 版本）
• 基于引導加載程序的 checkm8 提取（選擇設備），滿足取證要求
• 密碼解鎖和真實物理獲取（選擇32位設備）

多平臺可用性

iOS Forensic Toolkit 適用于 macOS、Windows 和 Linux。

Linux 版本正式支持 Debian、Ubuntu、Kali Linux 和 Mint

完整文件系統(tǒng)提取和鑰匙串解密

基于直接訪問文件系統(tǒng)的低級提取方法可用于各種 iOS 設備和操作系統(tǒng)版本。該采集方法使用內(nèi)部開發(fā)的提取工具，將提取劑安裝到正在采集的設備上。該代理與專家的計算機進行通信，提供強大的性能和極高的提取速度，最高可達每分鐘 2.5 GB 的數(shù)據(jù)。

使用提取代理對于設備本身來說本質(zhì)上是安全的，因為它既不會修改系統(tǒng)分區(qū)，也不會重新安裝文件系統(tǒng)。提取代理采用的低級提取技術(shù)產(chǎn)生的數(shù)據(jù)與通過 checkm8 等物理提取方法獲得的數(shù)據(jù)一樣多。文件系統(tǒng)鏡像和所有鑰匙串記錄都可以根據(jù)操作系統(tǒng)版本進行提取和解密。

可以提取整個文件系統(tǒng)，也可以使用快速提取選項，僅從用戶分區(qū)獲取文件。通過跳過存儲在設備系統(tǒng)分區(qū)中的文件，快速提取選項有助于減少完成工作所需的時間，并減少靜態(tài)內(nèi)容的存儲空間。

Windows 和 Linux 用戶需要在 Apple 開發(fā)者計劃中注冊的 Apple ID 才能安裝和簽署提取代理。Mac 用戶可以使用常規(guī) Apple ID 來簽名和旁加載提取代理。

使用引導加載程序漏洞進行提取，滿足取證要求

為了保留數(shù)字證據(jù)，軟件從數(shù)據(jù)收集的第一步就開始一系列的監(jiān)管，以確保調(diào)查期間收集的數(shù)字證據(jù)仍然可以被法庭采信?；谝龑Ъ虞d程序的新提取方法可在提取會話中提供可重復的結(jié)果。在受支持的設備上使用 iOS Forensic Toolkit 時，第一個提取的鏡像的校驗和與后續(xù)提取的校驗和匹配，前提是該設備在提取之間關(guān)閉電源，并且在此期間從不啟動已安裝的 iOS 版本。

新的提取方法是迄今為止最干凈的。所有工作完全在 RAM 中執(zhí)行，并且在提取過程中不會啟動設備上安裝的操作系統(tǒng)。我們獨特的直接提取技術(shù)具有以下優(yōu)點：

• 可重現(xiàn)結(jié)果。如果設備保持關(guān)閉狀態(tài)并且在會話之間從不啟動 iOS，則后續(xù)提取的校驗和將與第一個提取的校驗和相匹配。
• 支持iPhone X、iPhone 8/7/Plus、6s/6/Plus、SE（原版）、iPhone 5s
• 總共支持多種 Apple 型號，包括 25 款 iPhone、40 款 iPad、3 款 iPod、4 款 Apple TV 和 4 款 Apple Watch 型號
• 廣泛的 iOS 兼容性。支持 iOS 3 到 iOS 16（A11 Bionic iPhone 不支持 iOS 16）。
• 不更改系統(tǒng)和數(shù)據(jù)分區(qū)。
• 零數(shù)據(jù)修改策略：100% 的修補發(fā)生在 RAM 中。
• 對安裝過程提供完整引導，并且非?？煽?。
• BFU 模式支持鎖定設備，而對 USB 限制模式則可以完全繞過。

兼容性：Mac 和 Linux 版本均提供引導加載程序級提取。

舊版設備的解鎖和鏡像：iPhone 3G/3GS、4、4s、5 和 5c

對舊版 iPhone 型號，提供密碼解鎖和鏡像支持。

該工具包可用于通過嘗試恢復原始 4 位或 6 位 PIN 來解鎖受未知屏幕鎖定密碼保護的加密 iPhone 3G/3GS、4、4s (1)、5 和 5c 設備。這種 DFU 攻擊只需 12 分鐘即可解鎖受 4 位數(shù) PIN 保護的 iPhone 5，而 6 位數(shù) PIN 則需要長達 21 小時。將自動使用智能攻擊來嘗試盡可能多地削減這次時間。在不到 4 分鐘的時間內(nèi)，該工具將嘗試數(shù)千個最常用的密碼，例如 000000、123456 或 121212，然后是基于出生日期的 6 位 PIN。其中 74,000 個此類攻擊，智能攻擊大約需要 1.5 小時。如果仍然不成功，則會啟動其余密碼的完整暴力破解。

對舊版 iOS 設備，支持完整的物理獲取，包括 iPhone、iPhone 3G/3GS、4、4s (1)、5 和 5c。對于所有支持的型號，工具包可以提取用戶分區(qū)的精確位圖并解密鑰匙串。如果設備運行的是 iOS 4 到 7，即使不破解屏幕鎖定密碼也可以執(zhí)行成像，而運行 iOS 8 到 10 的設備則需要先破解密碼。對于所有支持的型號，工具包可以提取和解密用戶分區(qū)和鑰匙串。

(1) 通過自定義Raspberry Pi Pico 板，可以為 iPhone 4s、iPod Touch 5、iPad 2 和 3 設備提供密碼解鎖和基于 checkm8提取，滿足取證要求，該Pico板用于針對應用該漏洞。固件鏡像隨 iOS Forensic Toolkit 提供；不提供 Pico 板。

注意：僅限 Mac 和 Linux 版本；iPhone 4s 支持需要帶有自定義固件（已提供）的 Raspberry Pi Pico 板（未提供）。對于 iOS 4 到 7，設備鏡像不需要密碼恢復。對于 iOS 8 和 9，必須在鏡像之前恢復密碼（否則，可用的 BFU 提取有限）。為 iPhone 5 提供的解鎖速度估算；攻擊在舊設備上運行速度較慢。

擴展邏輯采集

iOS Forensic Toolkit支持邏輯獲取，簡單安全的獲取方式。邏輯獲取會對設備中存儲的信息生成標準的 iTunes 式備份、提取媒體和共享文件并提取系統(tǒng)崩潰日志。雖然邏輯采集返回的信息少于低級提取，但建議專家在嘗試更具侵入性的采集技術(shù)之前創(chuàng)建設備的邏輯備份。

我們始終建議將邏輯獲取與低級提取結(jié)合使用，以安全地提取所有可能類型的證據(jù)。

快速提取媒體文件，如相機膠卷、書籍、錄音和 iTunes 媒體庫。與創(chuàng)建本地備份（這可能是一個可能很長的操作）相反，媒體提取可以在所有支持的設備上快速運行。通過使用配對記錄（鎖定文件）可以從鎖定的設備中提取數(shù)據(jù)。

除了媒體文件之外，iOS Forensic Toolkit 還可以提取多個應用程序的崩潰/診斷日志和存儲文件。提取 Adobe Reader 和 Microsoft Office 本地存儲的文檔、MiniKeePass 密碼數(shù)據(jù)庫等等。提取需要解鎖的設備或未過期的鎖定記錄。

邏輯采集適用于所有設備，無論硬件代次和 iOS 版本如何。專家需要使用密碼或 Touch ID 解鎖設備，或者使用從用戶計算機中提取的未過期的鎖定文件。

如果設備被s配置為生成受密碼保護的備份，專家必須使用Elcomsoft Phone Breaker來恢復密碼并刪除加密。如果未設置備份密碼，該工具將自動為系統(tǒng)配置一個臨時密碼（“123”），以便能夠解密鑰匙串項目（密碼將在獲取后重置）。

支持的設備和采集方法

iOS Forensic Toolkit 為從 iPhone 3G 到 iPhone 14、14 Pro 和 iPhone 14 Pro Max 系列的設備實現(xiàn)底層提取支持。

支持以下情況：

• 密碼解鎖：通過 DFU 漏洞暴力破解 4 位和 6 位屏幕鎖定密碼。所有 iOS 版本、iPhone 3G/3GS、4、4s、5 和 5c 設備。[1] [2]
• 舊版設備：iPhone 3G/3GS、4、4s、5 和 5c 設備的位精確成像和解密。[1] [2]
• 代理：為運行 iOS 12 至 16.5 的許多設備提供完整的文件系統(tǒng)提取和鑰匙串解密。相應的 iPad 型號也包括在內(nèi)。需要 Apple 開發(fā)者注冊 (Windows)/可選 (macOS)。
• 利用 Bootrom 漏洞 (checkm8)：針對所有受支持的 iOS 版本，對 76 個 Apple 設備進行取證健全的文件系統(tǒng)和鑰匙串獲取。[1]
• 其他 Apple 設備：運行提取代理不支持的 iOS 版本的設備的高級邏輯獲取、共享文件和媒體提取。設備必須解鎖并與專家的計算機配對。

對 iPhone、iPad 和 iPod Touch 設備執(zhí)行物理和邏輯采集。鏡像設備文件系統(tǒng)，提取設備機密（密碼、加密密鑰和受保護數(shù)據(jù)）并解密文件系統(tǒng)鏡像。

1. 僅適用于 Mac 和 Linux 版本。
2. 對于 iPhone 4s，需要自定義固件 Raspberry Pi Pico 板。

Apple Watch、Apple TV 和 HomePod 提取

Elcomsoft iOS Forensic Toolkit 是市場上唯一一款從 Apple TV、Apple Watch 和第一代 HomePod 設備中提取信息的第三方工具。雖然專家可能會嘗試為與 Apple Watch 配對的用戶 iPhone 創(chuàng)建 iTunes 式備份，但如果 iPhone 被安全鎖定，則本地備份可能不可用。即使 iPhone 被鎖定或不可用，直接從 Watch 提取信息也可以訪問信息。雖然 Apple Watch 不提供獨立的 iTunes 式備份，但專家仍然可以訪問崩潰日志和媒體文件，包括 EXIF 和位置數(shù)據(jù)。

• 連接Watch需要第三方 IBUS 適配器
• Apple Watch S0 至 S3 的 checkm8 提取
• Apple Watch S0 至 S6 的邏輯收購

Apple TV 設備不支持 iTunes 式備份，但如果用戶在其 iCloud 帳戶中啟用了 iCloud 照片，則可能包含用戶整個 iCloud 照片庫的本地副本。由于 Apple TV 不具有密碼保護功能，因此即使用戶的 iPhone 被鎖定并且 iCloud 密碼未知，也可以提取數(shù)據(jù)。Apple TV 4 需要有線連接，Apple TV 4K 需要通過 Xcode 進行無線連接。

Apple TV 4K（第一代）及較舊版本、Apple Watch S3 及較舊版設備以及第一代 HomePod 支持滿足取證要求的checkm8 提取?？赡苄枰ㄖ七m配器。

鑰匙串提取

Elcomsoft iOS Forensic Toolkit 可以提取鑰匙串項目，包括受 ThisDeviceOnly 屬性保護的鑰匙串項目，從而使調(diào)查人員能夠訪問高度敏感的數(shù)據(jù)，例如網(wǎng)站和其他資源（以及在許多情況下，Apple ID）的登錄/密碼信息。

在整個鑰匙串獲取過程中，設備必須保持解鎖狀態(tài)。iOS Forensic Toolkit 采用了禁用自動屏幕鎖定的工具。

DFU、恢復和診斷模式

通過 DFU、恢復和診斷模式獲取有關(guān)鎖定和禁用設備的信息。即使設備在 10 次解鎖嘗試失敗后被鎖定，或者 USB 限制模式被激活，您仍然可以將其切換到恢復或 DFU。借助 Elcomsoft iOS Forensic Toolkit，您可以提取有關(guān)設備的重要信息，包括設備型號標識符、ECID/UCID、序列號，以及在某些情況下的 IMEI 號碼。此外，恢復模式還會返回有關(guān)引導加載程序版本的信息，這有助于確定 iOS 版本或設備上安裝的 iOS 版本范圍。

使用 Raspberry Pi Pico 實現(xiàn)自動化

使用帶有 ElcomSoft 固件的 Raspberry Pi Pico 板，可以自動執(zhí)行一些原本耗時且勞動密集型的例程。

自動DFU

Auto-DFU 允許專家自動將 iPhone 8、iPhone 8 Plus 和 iPhone X 設備切換到 DFU，從而大大簡化了流程，否則將需要安裝精確計時進行一系列按鈕操作。當設備的按鈕損壞時，自動 DFU 模式是必不可少的，否則需要拆卸才能進入 DFU。此功能需要使用預編程的 Raspberry Pi Pico 設備。

滾動截圖

這種自動功能允許以半自動方式制作長的、可滾動的屏幕截圖。此功能適用于所有設備和 iOS 版本。

捕獲屏幕截圖可能是移動設備調(diào)查中的關(guān)鍵步驟。通過對連接的 iOS 設備上顯示的內(nèi)容進行一系列屏幕截圖，調(diào)查人員可以收集可能無法通過其他方式訪問的數(shù)字證據(jù)，例如高級邏輯獲取，其中受保護的聊天歷史等數(shù)據(jù)可能無法獲得。在某種程度上，這個新功能可以看作是除了云、高級邏輯和底層提取方法之外的一種新的提取工具。

用于保護代理側(cè)載的功能防火墻

側(cè)載和運行低級提取代理可能需要通過 Apple 服務器驗證應用程序的數(shù)字簽名，這需要具有相關(guān)風險的在線連接。我們開發(fā)了一種基于 Raspberry Pi 4 的開源解決方案，通過將設備的連接限制為僅與證書驗證所需的服務器來最大程度地降低風險。