执行iPhone、iPad和iPod Touch设备的完整文件系统和逻辑采集。映像设备文件系统,提取设备机密(密码、加密密钥和受保护数据)并解密文件系统映像。
支持:所有代iPhone、iPad、iPad Pro和iPod Touch,有越狱或无越狱功能;Apple Watch和Apple TV 4和4K;从iOS 7到iOS 15.x的所有iOS版本
新功能
选中选定iPhone型号的M8提取
Mac版iOS Forensic Toolkit 8.0 beta版引入了一种新的提取方法,用于基于修改的引导加载程序选择iOS设备。新的提取方法是迄今为止最干净的,能够实现可重复的、可验证的提取和具有良好法律效力的工作流。
适用于Mac的iOS Forensic Toolkit 8.0的第四个测试版为具有引导加载程序漏洞的最新一代iPhone设备添加了checkm8提取支持,其中包括iPhone 8、8 Plus和iPhone X设备,这些设备运行iOS 15.5之前的所有支持版本。这完成了可以使用iOS Forensic Toolkit 8.0测试版提取的设备范围,它现在包括从iPhone 5s到iPhone X的所有64位iPhone型号,没有任何间隙或排除。
检查其他iPad、iPod Touch和Apple TV型号的M8支持
适用于Mac的Elcomsoft iOS Forensic Toolkit 8.0的第九个测试版增加了对iPad 5、6和7、iPad Mini 2、3和4、iPad Air 1和2以及iPad Pro 1和2(分别为9.7英寸和12.9英寸型号)的支持。此外,还支持iPod Touch 6和7以及Apple TV 3和4K。目前,我们的checkm8提取解决方案支持所有具有引导加载程序漏洞的iPad和所有iPod Touch型号,没有例外。
Extraction agent获得对iOS 15.2到15.3.1的低级提取支持
Elcomsoft iOS Forensic Toolkit 7.60为多代Apple设备提供了低级提取支持,为基于Apple A11-A15和M1芯片的iOS 15.2到15.3.1设备添加了完整的文件系统提取。
此外,我们更新了iOS Forensic Toolkit8.0 beta 13,添加了相同的基于代理的提取支持,并将取证声音checkm8提取扩展到新发布的iOS 15.6.1。
更新后的工具包现在支持从iOS 9.0到iOS 15.3.1的所有iOS版本的基于代理的完整文件系统提取。除了文件系统提取,iOS 9.0到iOS15.1.1的多个平台还支持密钥链解密。
iOS Forensic Toolkit 8.0 beta 13获得了Elcomsoft iOS Forensic Toolkit 7.40的所有新功能,并为最新版本的iOS 15.6.1添加了checkm8获取支持。
对运行Apple iOS的iPhone/iPad/iPod设备的取证访问
对iPhone/iPad/iPod设备中存储的用户数据执行完整的取证采集。Elcomsoft iOS Forensic Toolkit允许成像设备的文件系统,提取设备机密(密码、密码和加密密钥),并通过锁定记录访问锁定设备。
支持以下提取方法:
完整文件系统提取和密钥链解密
基于直接访问文件系统的无越狱提取方法可用于有限范围的iOS设备。使用内部开发的提取工具,该获取方法将提取剂安装到被获取的设备上。该代理与专家的计算机通信,提供强大的性能和极高的提取速度,每分钟超过2.5 GB的数据。
更好的是,基于代理的提取是完全安全的,因为它既不修改系统分区,也不重新装载文件系统,同时对提取的信息执行自动动态哈希。基于代理的提取不会对用户数据进行任何更改,从而提供取证声音提取。
文件系统映像和所有密钥链记录都被提取和解密。基于代理的提取方法提供了可靠的性能,并导致取证声音提取。提取后,只需按一下按钮即可从设备中移除代理。
您可以提取整个文件系统,也可以使用快速提取选项,只从用户分区获取文件。通过跳过存储在设备系统分区中的文件,快速提取选项有助于减少执行作业所需的时间,并将存储空间减少数GB的静态内容。
安装和签署提取代理需要在Apple Developer Program中注册Apple ID。Mac版取消了这一要求,允许使用常规的Apple ID对提取代理进行签名并将其侧载到iOS设备上。
基于越狱的提取
除了基于代理的提取外,iOS Forensic Toolkit还完全支持提取所有可使用越狱功能的越狱设备。完整文件系统提取和密钥链解密可用于越狱设备。支持所有公共越狱。
精选iPhone和iPad型号的法医声音提取
为了保存数字证据,监管链从数据收集的第一点开始,以确保在调查期间收集的数字证据保持法院受理状态。新的、基于引导加载程序的提取方法跨提取会话提供可重复的结果。在受支持的设备上使用iOS Forensic Toolkit时,如果设备在两次提取之间断电,并且在此期间从不引导已安装的iOS版本,则第一个提取图像的校验和将与后续提取的校验和匹配。
新的提取方法是迄今为止最干净的。我们实现的基于引导加载程序的漏洞利用直接源自源代码。所有工作都完全在RAM中执行,设备上安装的操作系统保持不变,在引导过程中不使用。我们独特的直接提取工艺具有以下优点:
注:引导加载程序级别的提取只在Mac版本中提供,需要一台macOS计算机。
解锁和成像传统设备:iPhone 4、4s、5和5c
旧款iPhone机型提供密码解锁和图像处理支持。
通过尝试恢复原始的4位或6位PIN,该工具包可用于解锁受未知屏幕锁定密码保护的加密iPhone 4、4s(1)、5和5c设备。在iPhone5和5c设备上,此DFU攻击的速度为每秒13.6个密码,只需12分钟即可解锁受4位PIN保护的iPhone。6位PIN最多需要21小时。智能攻击将自动用于尝试尽可能多地减少这一时间。在不到4分钟的时间内,该工具将尝试数千个最常用的密码,如000000、123456或121212,然后根据出生日期尝试6位PIN。其中74000人,智能攻击大约需要1.5小时。如果仍不成功,则会启动其余密码的全部暴力。(注意:iPhone 4上的密码恢复速度为每秒6.6个密码)。
旧版iOS设备(包括iPhone 4、4s(1)、5和5c)可进行全面物理采集。对于所有支持的模型,Toolkit可以提取用户分区的位精确图像并解密密钥链。如果设备运行的是iOS 4到7,则即使不破坏屏幕锁定密码也可以执行成像,而运行iOS 8到10的设备需要先破坏密码。对于所有支持的模型,Toolkit可以提取和解密用户分区和密钥链。
(1) iPhone 4s、iPod Touch 5、iPad 2和3设备可通过定制的flashed Raspberry Pi Pico板进行密码解锁和基于checkm8的取证,该板用于应用漏洞攻击。固件映像随iOS Forensic Toolkit提供;未提供Pico板。
扩展逻辑获取
iOS Forensic Toolkit支持逻辑采集,与物理采集相比,这是一种更简单、更安全的采集方法。Logical acquisition对设备中存储的信息进行标准iTunes风格的备份,提取媒体和共享文件,并提取系统崩溃日志。虽然逻辑采集返回的信息少于物理采集,但建议专家在尝试更具侵入性的采集技术之前创建设备的逻辑备份。
我们始终建议将逻辑采集与物理采集相结合,以安全提取所有可能类型的证据。
快速提取媒体文件,如相机卷、书籍、语音记录和iTunes媒体库。与创建本地备份(这可能是一个冗长的操作)相反,媒体提取可以在所有支持的设备上快速工作。可以使用配对记录(锁定文件)从锁定设备中提取。
除了媒体文件,iOS Forensic Toolkit还可以提取多个应用程序的崩溃/诊断日志和存储文件,提取关键证据而无需越狱。提取Adobe Reader和Microsoft Office本地存储的文档、MiniKeePass密码数据库等。提取需要解锁的设备或未过期的锁定记录。
无论硬件生成和越狱状态如何,逻辑采集都可用于所有设备。冷启动后,设备必须至少解锁一次;否则,无法启动设备备份服务。
专家需要使用密码或触摸ID解锁设备,或使用从用户计算机提取的未过期锁定文件。
如果设备配置为生成密码保护的备份,专家必须使用Elcomsoft电话断路器恢复密码并删除加密。还需要Elcomsoft手机断路器来查看钥匙链记录。如果未设置备份密码,该工具将自动使用临时密码(“123”)配置系统,以便能够解密钥匙链项目(密码将在获取后重置)。
使用锁定(配对)记录,即使在断电或重新启动后,也可以从锁定的iOS设备中提取信息。以下矩阵适用于运行iOS 8及更高版本的设备:
|
基本设备信息 |
高级设备信息 |
应用程序列表 |
媒体 |
iTunes风格备份 |
设备锁定,无锁定记录 |
是 |
否 |
否 |
否 |
否 |
设备重新启动后从未解锁,存在锁定 |
是 |
是 |
否 |
否 |
否 |
设备重新启动后解锁,存在锁定 |
是 |
是 |
是 |
是 |
是 |
支持的设备和采集方法
iOS Forensic Toolkit实现了对从iPhone 5s到iPhone 13、13 Pro、iPhone 13 mini和iPhone 13 Pro Max的越狱设备的物理获取支持。
以下兼容性矩阵适用:
执行iPhone、iPad和iPod Touch设备的物理和逻辑采集。映像设备文件系统,提取设备机密(密码、加密密钥和受保护数据)并解密文件系统映像。
兼容设备和平台
逻辑采集包括:
系统要求
Windows
Apple macOS
用于Windows的iOS Forensic Toolkit需要安装最新版本的iTunes。macOS版本不保证在虚拟机或黑客电脑上工作。还请注意,该产品的某些特定功能(传统32位设备的物理购置、使用非开发人员账户的代理安装、checkm8购置)仅在macOS版本中可用。
发行说明
Elcomsoft iOS Forensic Toolkit v.7.60
2022年8月25日
卸载过程:要卸载产品,请通过“控制面板-程序和功能”遵循标准过程,或使用Windows“开始”菜单中产品文件夹中相应的Uninstall链接。