Elcomsoft iOS Forensic Toolkit
增強的取證訪問運行Apple iOS的iPhone / iPad / iPod設備
執(zhí)行對存儲在iPhone / iPad / iPod設備中的用戶數(shù)據(jù)的完整取證����。 Elcomsoft iOS Forensic Toolkit允許成像設備的文件系統(tǒng),提取設備密碼(密碼��,密碼和加密密鑰)和解密文件系統(tǒng)映像�。即時提供對大多數(shù)信息的訪問。
請注意�,一些型號需要越獄。
特點和優(yōu)點
一體化��,完整的采集解決方案
物理采集(32位設備):采集完整,位精度的設備圖像
物理采集(64位設備):與邏輯或云采集相比提取更多信息
邏輯獲?��。禾崛Tunes風格的備份��,包括鑰匙串
從鎖定的設備提取信息(限制適用)
解密鑰匙串項�����,解壓縮�,設備密鑰(僅限32位設備)
快速文件系統(tǒng)采集:20-40分鐘為32 GB型號
零占用操作不會留下跡線���,也不會改變器件的內(nèi)容(僅限32位舊式器件)
完全負責任:每個調(diào)查步驟都會被登記和記錄
支持iOS 9.3.3
不需要密碼
簡單的4位數(shù)密碼在10-40分鐘內(nèi)恢復
Mac和Windows版本可用
自動和手動模式可用
32位和64位Apple設備的物理采集
物理獲取是訪問存儲在iOS設備中的信息的首選方法����。當具有選擇時��,執(zhí)行物理獲取的取證客戶比通過使用諸如邏輯獲取或備份分析等的任何其他方法從設備獲得更多信息��。雖然很難預測需要多長時間才能破解保護離線備份的密碼���,但物理采集在固定時間幀的基礎(chǔ)上運行��,這保證在40分鐘或更短時間內(nèi)交付32 GB設備的整個內(nèi)容(取決于關(guān)于存儲在設備中的信息量)��。與備份分析相比����,有更多的信息可用于物理采集,從而實時地創(chuàng)建位精確的設備圖像�。它還返回比邏輯獲取更多的數(shù)據(jù)���,因為許多文件被操作系統(tǒng)鎖定并且在邏輯獲取的過程期間不可訪問�����。
即使原始設備密碼未知�,Elcomsoft iOS Forensic Toolkit提供對存儲在最新iPhone和iPad設備中的加密信息的近即時取證訪問�,可訪問從支持的Apple設備提取的受保護的文件系統(tǒng)轉(zhuǎn)儲。此時����,物理采集支持僅適用于傳統(tǒng)硬件(iPhone 4及更高版本)和越獄32位設備(iPhone 4S至5C)。
專有的采集技術(shù)專門用于64位設備的Elcomsoft iOS Forensic Toolkit����。 64位設備的物理采集與裝備有64位SoC的越獄iPhones和iPad完全兼容,返回設備的完整文件系統(tǒng)(而不是使用32位進程提取的位精確圖像)���。注意�����,keychain是提取的�,但不能用新的64位進程解密。僅支持具有已知或空密碼的設備;在獲取之前必須在iOS設置中刪除密碼保護���。
支持32位和64位iOS設備
iOS Forensic Toolkit實現(xiàn)對舊iDevices(包括iPhone 4)的無條件物理獲取支持���。物理采集也可用于越獄的32位設備,如iPhone 4S�,5和5C,原始的iPad mini和32位的iPad�。通過64位設備技術(shù)的專用物理采集支持64位器件(需要越獄)。
以下兼容性矩陣適用:
所有設備:無論越獄狀態(tài)或iOS版本如何���,都可以對所有設備進行邏輯采集��。支持鎖定文件以訪問受密碼保護的設備���。
傳統(tǒng):無論iOS版本和鎖定狀態(tài)如何,對舊版設備(iPhone 4及更早版本)的無條件物理獲取支持
32位:完全物理采集支持越獄的32位設備運行iOS到iOS 9(iPhone 4S到5C�,iPad mini)
64位:運行任何版本的iOS的越獄64位設備的物理采集(iPhone 5S��,6,6S及其Plus版本����,iPad mini 2至4�����,iPad Air�,Air 2)
鎖定:限制獲取支持使用未知密碼鎖定且無法解鎖的越獄32位和64位iOS設備
具有鎖定支持和鑰匙串提取的邏輯采集
iOS Forensic Toolkit支持邏輯�,一種比物理更簡單和更安全的采集方法。邏輯采集產(chǎn)生存儲在設備中的信息的標準iTunes樣式備份��。雖然邏輯采集返回的信息少于物理信息�����,但建議專家在嘗試更具侵入性的采集技術(shù)之前創(chuàng)建設備的邏輯備份��。
邏輯獲取可用于運行iOS 4或更高版本的所有設備�����,無論是硬件生成還是越獄狀態(tài)�。冷啟動后����,設備必須至少解鎖一次;否則無法啟動設備備份服務��。
專家需要使用密碼或Touch ID解鎖設備�,或使用從用戶計算機提取的未到期的鎖定文件。
如果設備配置為生成受密碼保護的備份�,則專家必須使用Elcomsoft Phone Breaker恢復密碼并刪除加密。 Apple iTunes不需要生成備份���。如果未設置備份密碼�,工具將自動為系統(tǒng)配置臨時密碼(“123”)����,以便能夠解密鑰匙串項(密碼將在獲取后重置)。
訪問比iPhone備份上可用的更多的信息
ElcomSoft已經(jīng)提供了通過解密Apple iTunes所做的數(shù)據(jù)備份來訪問存儲在iPhone / iPad / iPod設備中的信息的功能�����。與這些備份中提供的信息相比����,新工具包提供了更多信息,包括訪問密碼和用戶名��,電子郵件,地理位置數(shù)據(jù)�����,應用程序特定數(shù)據(jù)等��。
可以訪問存儲在用戶的智能手機中的大量高度敏感的信息�。歷史地理位置數(shù)據(jù),查看的Google地圖和路線�����,網(wǎng)絡瀏覽歷史記錄和通話記錄���,圖片,電子郵件和短信��,用戶名����,密碼以及iPhone上輸入的幾乎所有內(nèi)容都由設備緩存,并可以使用新的工具包�。
實時訪問加密信息
與先前使用的依賴于冗長的字典攻擊或強力密碼恢復的方法不同,新的工具包可以從物理設備提取大多數(shù)加密密鑰��。通過可用的加密密鑰,實時提供對大多數(shù)信息的訪問�。 iPhone設備的典型采集需要20至40分鐘(取決于型號和內(nèi)存大小)����。處理64 GB版本的Apple iPad需要更多的時間。異常列表很短��,包括用戶的密碼���,可以強制強制或使用字典攻擊恢復�����。
鑰匙扣恢復
Elcomsoft iOS Forensic Toolkit可以訪問iOS密碼(包括大多數(shù)鑰匙串項)�,打開調(diào)查人員訪問高度敏感數(shù)據(jù)����,例如登錄/密碼信息到網(wǎng)站和其他資源(在許多情況下,訪問Apple ID)��。
在物理獲取期間��,鑰匙串恢復僅適用于32位設備�����。當使用用于64位設備的物理采集技術(shù)時,可以提取鑰匙串��,但不能解密�����。
但是�����,邏輯獲取模塊仍然會提取鑰匙串���。如果iOS設備中未設置備份密碼(iOS Forensic Toolkit將指定臨時密碼�,“123”)��,或者如果您能夠斷開原始密碼(如果未知)�����,您將能夠解密密鑰鏈(使用Elcomsoft電話斷路器)���。
密碼恢復
知道原始密碼從來不是必需的�����,但在iOS 4-7設備的情況下可能會很方便(對于iOS 8���,但是,它是必需的)���。以下圖表有助于了解您是否需要密碼才能成功獲取�。
iOS 1.x-3.x:不需要密碼��。所有信息將可訪問�����。原始密碼將立即恢復并顯示��。
iOS 4.0-7.x:某些信息受密碼相關(guān)的密鑰保護����,包括以下內(nèi)容:
電子郵件;
大多數(shù)鑰匙串記錄(存儲的登錄/密碼信息);
某些第三方應用程序數(shù)據(jù),如果應用程序請求強加密���。
iOS 8.x和9.x:大多數(shù)信息受到保護�����。沒有密碼��,我們只能得到非常有限的數(shù)據(jù)量;見蘋果的政府監(jiān)管:在其客戶方的細節(jié)�����。
Elcomsoft iOS Forensic Toolkit可以在10-40分鐘內(nèi)暴力強制iOS 4+簡單的4位數(shù)密碼����。復雜的密碼也可以恢復,但是需要更多的時間�����,只要恢復正在設備上執(zhí)行����,并且不能在更快的設備上“離線”地完成。
系統(tǒng)要求
適用于Mac OS X的iOS Forensic Toolkit要求基于Intel的Mac計算機運行Mac OS X從10.6(Snow Leopard)到10.11(El Capitan)�����,安裝iTunes 10.6或更高版本����。
iOS Forensic Toolkit與OS X 10.10.5和10.11以及需要使用DFU模式的舊iOS設備(iPhone 4及更高版本)存在已知的兼容性問題。在El Capitan中獲得更新的設備正常工作�。
Microsoft Windows工具包要求安裝了運行Windows XP,Windows 7�,Windows 8 / 8.1或Windows 10(安裝了iTunes 10.6或更高版本)的計算機。
Mac OS X����,Windows和iTunes的其他版本也可能工作,但沒有經(jīng)過測試��。
兼容設備和平臺
該工具包完全支持以下iOS設備����,運行所有iOS版本到iOS 7;無需越獄,密碼可以繞過或快速恢復:
iPhone(原裝)
iPhone 3G
iPhone 3GS
iPhone 4(GSM和CDMA型號)
iPad(第1代)
iPod Touch(第1代 - 第4代)
物理采集可用于以下型號(需要越獄安裝OpenSSH)
iPhone 4S
iphone 5
iPhone 5C
iPod Touch(第5代)
iPad 2
iPad與Retina顯示(第3和第4代)
小型平板電腦
通過64位設備的物理采集支持以下(64位)型號����,而不考慮iOS版本(最高9.0.2):
iPhone 5S
iPhone 6
iPhone 6 Plus
iPhone 6S
iPhone 6S Plus
iPad Air
iPad Air 2
iPad Mini 2/3/4
iPad Pro
支持的操作系統(tǒng):
iOS 1-5
iOS 6.0-6.1.2(帶evasi0n越獄)
iOS 6.1.3-6.1.6(帶p0sixspwn越獄)
iOS 7.0(帶evasi0n越獄)
iOS 7.1(含Pangu 1.2+越獄)
iOS 8.0-8.1.2(含TaiG,PanGu或PP越獄)
iOS 8.1.3-8.4(使用TaiG 2.0越獄)
iOS 9.0-9.1(含PanGu越獄)
iOS 9.2-9.3.3(含PanGu越獄)
