Elcomsoft iOS Forensic Toolkit
增强的取证访问运行Apple iOS的iPhone / iPad / iPod设备
执行对存储在iPhone / iPad / iPod设备中的用户数据的完整取证。 Elcomsoft iOS Forensic Toolkit允许成像设备的文件系统,提取设备密码(密码,密码和加密密钥)和解密文件系统映像。即时提供对大多数信息的访问。
请注意,一些型号需要越狱。
特点和优点
一体化,完整的采集解决方案
物理采集(32位设备):采集完整,位精度的设备图像
物理采集(64位设备):与逻辑或云采集相比提取更多信息
逻辑获取:提取iTunes风格的备份,包括钥匙串
从锁定的设备提取信息(限制适用)
解密钥匙串项,解压缩,设备密钥(仅限32位设备)
快速文件系统采集:20-40分钟为32 GB型号
零占用操作不会留下迹线,也不会改变器件的内容(仅限32位旧式器件)
完全负责任:每个调查步骤都会被登记和记录
支持iOS 9.3.3
不需要密码
简单的4位数密码在10-40分钟内恢复
Mac和Windows版本可用
自动和手动模式可用
32位和64位Apple设备的物理采集
物理获取是访问存储在iOS设备中的信息的首选方法。当具有选择时,执行物理获取的取证客户比通过使用诸如逻辑获取或备份分析等的任何其他方法从设备获得更多信息。虽然很难预测需要多长时间才能破解保护离线备份的密码,但物理采集在固定时间帧的基础上运行,这保证在40分钟或更短时间内交付32 GB设备的整个内容(取决于关于存储在设备中的信息量)。与备份分析相比,有更多的信息可用于物理采集,从而实时地创建位精确的设备图像。它还返回比逻辑获取更多的数据,因为许多文件被操作系统锁定并且在逻辑获取的过程期间不可访问。
即使原始设备密码未知,Elcomsoft iOS Forensic Toolkit提供对存储在最新iPhone和iPad设备中的加密信息的近即时取证访问,可访问从支持的Apple设备提取的受保护的文件系统转储。此时,物理采集支持仅适用于传统硬件(iPhone 4及更高版本)和越狱32位设备(iPhone 4S至5C)。
专有的采集技术专门用于64位设备的Elcomsoft iOS Forensic Toolkit。 64位设备的物理采集与装备有64位SoC的越狱iPhones和iPad完全兼容,返回设备的完整文件系统(而不是使用32位进程提取的位精确图像)。注意,keychain是提取的,但不能用新的64位进程解密。仅支持具有已知或空密码的设备;在获取之前必须在iOS设置中删除密码保护。
支持32位和64位iOS设备
iOS Forensic Toolkit实现对旧iDevices(包括iPhone 4)的无条件物理获取支持。物理采集也可用于越狱的32位设备,如iPhone 4S,5和5C,原始的iPad mini和32位的iPad。通过64位设备技术的专用物理采集支持64位器件(需要越狱)。
以下兼容性矩阵适用:
所有设备:无论越狱状态或iOS版本如何,都可以对所有设备进行逻辑采集。支持锁定文件以访问受密码保护的设备。
传统:无论iOS版本和锁定状态如何,对旧版设备(iPhone 4及更早版本)的无条件物理获取支持
32位:完全物理采集支持越狱的32位设备运行iOS到iOS 9(iPhone 4S到5C,iPad mini)
64位:运行任何版本的iOS的越狱64位设备的物理采集(iPhone 5S,6,6S及其Plus版本,iPad mini 2至4,iPad Air,Air 2)
锁定:限制获取支持使用未知密码锁定且无法解锁的越狱32位和64位iOS设备
具有锁定支持和钥匙串提取的逻辑采集
iOS Forensic Toolkit支持逻辑,一种比物理更简单和更安全的采集方法。逻辑采集产生存储在设备中的信息的标准iTunes样式备份。虽然逻辑采集返回的信息少于物理信息,但建议专家在尝试更具侵入性的采集技术之前创建设备的逻辑备份。
逻辑获取可用于运行iOS 4或更高版本的所有设备,无论是硬件生成还是越狱状态。冷启动后,设备必须至少解锁一次;否则无法启动设备备份服务。
专家需要使用密码或Touch ID解锁设备,或使用从用户计算机提取的未到期的锁定文件。
如果设备配置为生成受密码保护的备份,则专家必须使用Elcomsoft Phone Breaker恢复密码并删除加密。 Apple iTunes不需要生成备份。如果未设置备份密码,工具将自动为系统配置临时密码(“123”),以便能够解密钥匙串项(密码将在获取后重置)。
访问比iPhone备份上可用的更多的信息
ElcomSoft已经提供了通过解密Apple iTunes所做的数据备份来访问存储在iPhone / iPad / iPod设备中的信息的功能。与这些备份中提供的信息相比,新工具包提供了更多信息,包括访问密码和用户名,电子邮件,地理位置数据,应用程序特定数据等。
可以访问存储在用户的智能手机中的大量高度敏感的信息。历史地理位置数据,查看的Google地图和路线,网络浏览历史记录和通话记录,图片,电子邮件和短信,用户名,密码以及iPhone上输入的几乎所有内容都由设备缓存,并可以使用新的工具包。
实时访问加密信息
与先前使用的依赖于冗长的字典攻击或强力密码恢复的方法不同,新的工具包可以从物理设备提取大多数加密密钥。通过可用的加密密钥,实时提供对大多数信息的访问。 iPhone设备的典型采集需要20至40分钟(取决于型号和内存大小)。处理64 GB版本的Apple iPad需要更多的时间。异常列表很短,包括用户的密码,可以强制强制或使用字典攻击恢复。
钥匙扣恢复
Elcomsoft iOS Forensic Toolkit可以访问iOS密码(包括大多数钥匙串项),打开调查人员访问高度敏感数据,例如登录/密码信息到网站和其他资源(在许多情况下,访问Apple ID)。
在物理获取期间,钥匙串恢复仅适用于32位设备。当使用用于64位设备的物理采集技术时,可以提取钥匙串,但不能解密。
但是,逻辑获取模块仍然会提取钥匙串。如果iOS设备中未设置备份密码(iOS Forensic Toolkit将指定临时密码,“123”),或者如果您能够断开原始密码(如果未知),您将能够解密密钥链(使用Elcomsoft电话断路器)。
密码恢复
知道原始密码从来不是必需的,但在iOS 4-7设备的情况下可能会很方便(对于iOS 8,但是,它是必需的)。以下图表有助于了解您是否需要密码才能成功获取。
iOS 1.x-3.x:不需要密码。所有信息将可访问。原始密码将立即恢复并显示。
iOS 4.0-7.x:某些信息受密码相关的密钥保护,包括以下内容:
电子邮件;
大多数钥匙串记录(存储的登录/密码信息);
某些第三方应用程序数据,如果应用程序请求强加密。
iOS 8.x和9.x:大多数信息受到保护。没有密码,我们只能得到非常有限的数据量;见苹果的政府监管:在其客户方的细节。
Elcomsoft iOS Forensic Toolkit可以在10-40分钟内暴力强制iOS 4+简单的4位数密码。复杂的密码也可以恢复,但是需要更多的时间,只要恢复正在设备上执行,并且不能在更快的设备上“离线”地完成。
系统要求
适用于Mac OS X的iOS Forensic Toolkit要求基于Intel的Mac计算机运行Mac OS X从10.6(Snow Leopard)到10.11(El Capitan),安装iTunes 10.6或更高版本。
iOS Forensic Toolkit与OS X 10.10.5和10.11以及需要使用DFU模式的旧iOS设备(iPhone 4及更高版本)存在已知的兼容性问题。在El Capitan中获得更新的设备正常工作。
Microsoft Windows工具包要求安装了运行Windows XP,Windows 7,Windows 8 / 8.1或Windows 10(安装了iTunes 10.6或更高版本)的计算机。
Mac OS X,Windows和iTunes的其他版本也可能工作,但没有经过测试。
兼容设备和平台
该工具包完全支持以下iOS设备,运行所有iOS版本到iOS 7;无需越狱,密码可以绕过或快速恢复:
iPhone(原装)
iPhone 3G
iPhone 3GS
iPhone 4(GSM和CDMA型号)
iPad(第1代)
iPod Touch(第1代 - 第4代)
物理采集可用于以下型号(需要越狱安装OpenSSH)
iPhone 4S
iphone 5
iPhone 5C
iPod Touch(第5代)
iPad 2
iPad与Retina显示(第3和第4代)
小型平板电脑
通过64位设备的物理采集支持以下(64位)型号,而不考虑iOS版本(最高9.0.2):
iPhone 5S
iPhone 6
iPhone 6 Plus
iPhone 6S
iPhone 6S Plus
iPad Air
iPad Air 2
iPad Mini 2/3/4
iPad Pro
支持的操作系统:
iOS 1-5
iOS 6.0-6.1.2(带evasi0n越狱)
iOS 6.1.3-6.1.6(带p0sixspwn越狱)
iOS 7.0(带evasi0n越狱)
iOS 7.1(含Pangu 1.2+越狱)
iOS 8.0-8.1.2(含TaiG,PanGu或PP越狱)
iOS 8.1.3-8.4(使用TaiG 2.0越狱)
iOS 9.0-9.1(含PanGu越狱)
iOS 9.2-9.3.3(含PanGu越狱)
京ICP备09015132号-996 | 网络文化经营许可证京网文[2017]4225-497号 | 违法和不良信息举报电话:4006561155
© Copyright 2000-2023 北京哲想软件有限公司版权所有 | 地址:北京市海淀区西三环北路50号豪柏大厦C2座11层1105室