天津鴻萌科貿(mào)發(fā)展有限公司是 ElcomSoft 系列數(shù)據(jù)取證工具的授權(quán)代理商。ElcomSoft 系列取證工具僅提供給取證機(jī)構(gòu)及合法數(shù)據(jù)恢復(fù)任務(wù)。

Elcomsoft iOS Forensics Toolkit 軟件工具包適用于取證工作，對(duì) iPhone、iPad 和 iPod Touch 設(shè)備執(zhí)行完整文件系統(tǒng)和邏輯數(shù)據(jù)采集。對(duì)設(shè)備文件系統(tǒng)制作鏡像，提取設(shè)備機(jī)密（密碼、加密密鑰和受保護(hù)數(shù)據(jù)）并解密文件系統(tǒng)鏡像。

• 完整的文件系統(tǒng)提取和鑰匙串解密
• 邏輯獲取提取備份、崩潰日志、媒體和共享文件
• 舊版設(shè)備的密碼解鎖和物理獲取
• 提取并解密受保護(hù)的鑰匙串項(xiàng)目
• 通過修改后的引導(dǎo)加載程序，可提取特定 iPhone 和 iPad 型號(hào)數(shù)據(jù)，滿足取證要求
• 自動(dòng)禁用屏幕鎖定以實(shí)現(xiàn)平穩(wěn)、不間斷的采集

支持：各版本 iPhone、iPad、iPad Pro 和 iPod Touch、第一代 HomePod；Apple Watch、Apple TV 4 和 4K；從 iOS 3 到 iOS 17 的所有 iOS 版本

最新功能突破

適用于 iOS 16.0 - 16.6.1 的完整低級(jí)提取和鑰匙串解密

低級(jí)文件系統(tǒng)提取和鑰匙串解密現(xiàn)在可用于比以往更廣泛的 iOS 版本。完整的低級(jí)提取現(xiàn)已適用于 iOS 16 至 16.6.1。新方法支持采用 A11 和更新芯片構(gòu)建的設(shè)備，有效覆蓋 iPhone 8/8 Plus/iPhone X，以及 iPhone Xs/Xr 至 iPhone 14/14 Pro 系列，并支持許多 iPad，包括基于 Apple 的 iPad M1和M2芯片。

增強(qiáng)對(duì)舊版設(shè)備的支持：在 Windows 和 Linux 中掛載 HFS 鏡像

最新版本使 Windows 和 Linux 用戶能夠掛載從舊版 Apple 設(shè)備中提取的 HFS 磁盤鏡像。這項(xiàng)新功能使專家能夠在 Linux 和 Windows 計(jì)算機(jī)上高效地處理和分析從舊版 Apple 設(shè)備中提取的數(shù)字證據(jù)。

全功能介紹

對(duì)運(yùn)行 Apple iOS 的 iPhone/iPad/iPod 設(shè)備進(jìn)行取證訪問

對(duì) iPhone/iPad/iPod 設(shè)備中存儲(chǔ)的用戶數(shù)據(jù)進(jìn)行完整的取證采集。Elcomsoft iOS Forensic Toolkit 允許對(duì)設(shè)備的文件系統(tǒng)制作鏡像、提取設(shè)備機(jī)密（密碼、口令和加密密鑰）并通過鎖定記錄訪問鎖定的設(shè)備。

支持以下提取方法：

• 高級(jí)邏輯獲?。▊浞?、媒體文件、崩潰日志、共享文件）（所有設(shè)備、所有版本的 iOS）
• 基于代理的直接提?。ㄋ?64 位設(shè)備，選擇 iOS 版本）
• 基于引導(dǎo)加載程序的 checkm8 提?。ㄟx擇設(shè)備），滿足取證要求
• 密碼解鎖和真實(shí)物理獲?。ㄟx擇32位設(shè)備）

多平臺(tái)可用性

iOS Forensic Toolkit 適用于 macOS、Windows 和 Linux。

Linux 版本正式支持 Debian、Ubuntu、Kali Linux 和 Mint

完整文件系統(tǒng)提取和鑰匙串解密

基于直接訪問文件系統(tǒng)的低級(jí)提取方法可用于各種 iOS 設(shè)備和操作系統(tǒng)版本。該采集方法使用內(nèi)部開發(fā)的提取工具，將提取劑安裝到正在采集的設(shè)備上。該代理與專家的計(jì)算機(jī)進(jìn)行通信，提供強(qiáng)大的性能和極高的提取速度，最高可達(dá)每分鐘 2.5 GB 的數(shù)據(jù)。

使用提取代理對(duì)于設(shè)備本身來說本質(zhì)上是安全的，因?yàn)樗炔粫?huì)修改系統(tǒng)分區(qū)，也不會(huì)重新安裝文件系統(tǒng)。提取代理采用的低級(jí)提取技術(shù)產(chǎn)生的數(shù)據(jù)與通過 checkm8 等物理提取方法獲得的數(shù)據(jù)一樣多。文件系統(tǒng)鏡像和所有鑰匙串記錄都可以根據(jù)操作系統(tǒng)版本進(jìn)行提取和解密。

可以提取整個(gè)文件系統(tǒng)，也可以使用快速提取選項(xiàng)，僅從用戶分區(qū)獲取文件。通過跳過存儲(chǔ)在設(shè)備系統(tǒng)分區(qū)中的文件，快速提取選項(xiàng)有助于減少完成工作所需的時(shí)間，并減少靜態(tài)內(nèi)容的存儲(chǔ)空間。

Windows 和 Linux 用戶需要在 Apple 開發(fā)者計(jì)劃中注冊(cè)的 Apple ID 才能安裝和簽署提取代理。Mac 用戶可以使用常規(guī) Apple ID 來簽名和旁加載提取代理。

使用引導(dǎo)加載程序漏洞進(jìn)行提取，滿足取證要求

為了保留數(shù)字證據(jù)，軟件從數(shù)據(jù)收集的第一步就開始一系列的監(jiān)管，以確保調(diào)查期間收集的數(shù)字證據(jù)仍然可以被法庭采信?；谝龑?dǎo)加載程序的新提取方法可在提取會(huì)話中提供可重復(fù)的結(jié)果。在受支持的設(shè)備上使用 iOS Forensic Toolkit 時(shí)，第一個(gè)提取的鏡像的校驗(yàn)和與后續(xù)提取的校驗(yàn)和匹配，前提是該設(shè)備在提取之間關(guān)閉電源，并且在此期間從不啟動(dòng)已安裝的 iOS 版本。

新的提取方法是迄今為止最干凈的。所有工作完全在 RAM 中執(zhí)行，并且在提取過程中不會(huì)啟動(dòng)設(shè)備上安裝的操作系統(tǒng)。我們獨(dú)特的直接提取技術(shù)具有以下優(yōu)點(diǎn)：

• 可重現(xiàn)結(jié)果。如果設(shè)備保持關(guān)閉狀態(tài)并且在會(huì)話之間從不啟動(dòng) iOS，則后續(xù)提取的校驗(yàn)和將與第一個(gè)提取的校驗(yàn)和相匹配。
• 支持iPhone X、iPhone 8/7/Plus、6s/6/Plus、SE（原版）、iPhone 5s
• 總共支持多種 Apple 型號(hào)，包括 25 款 iPhone、40 款 iPad、3 款 iPod、4 款 Apple TV 和 4 款 Apple Watch 型號(hào)
• 廣泛的 iOS 兼容性。支持 iOS 3 到 iOS 16（A11 Bionic iPhone 不支持 iOS 16）。
• 不更改系統(tǒng)和數(shù)據(jù)分區(qū)。
• 零數(shù)據(jù)修改策略：100% 的修補(bǔ)發(fā)生在 RAM 中。
• 對(duì)安裝過程提供完整引導(dǎo)，并且非常可靠。
• BFU 模式支持鎖定設(shè)備，而對(duì) USB 限制模式則可以完全繞過。

兼容性：Mac 和 Linux 版本均提供引導(dǎo)加載程序級(jí)提取。

舊版設(shè)備的解鎖和鏡像：iPhone 3G/3GS、4、4s、5 和 5c

對(duì)舊版 iPhone 型號(hào)，提供密碼解鎖和鏡像支持。

該工具包可用于通過嘗試恢復(fù)原始 4 位或 6 位 PIN 來解鎖受未知屏幕鎖定密碼保護(hù)的加密 iPhone 3G/3GS、4、4s (1)、5 和 5c 設(shè)備。這種 DFU 攻擊只需 12 分鐘即可解鎖受 4 位數(shù) PIN 保護(hù)的 iPhone 5，而 6 位數(shù) PIN 則需要長(zhǎng)達(dá) 21 小時(shí)。將自動(dòng)使用智能攻擊來嘗試盡可能多地削減這次時(shí)間。在不到 4 分鐘的時(shí)間內(nèi)，該工具將嘗試數(shù)千個(gè)最常用的密碼，例如 000000、123456 或 121212，然后是基于出生日期的 6 位 PIN。其中 74,000 個(gè)此類攻擊，智能攻擊大約需要 1.5 小時(shí)。如果仍然不成功，則會(huì)啟動(dòng)其余密碼的完整暴力破解。

對(duì)舊版 iOS 設(shè)備，支持完整的物理獲取，包括 iPhone、iPhone 3G/3GS、4、4s (1)、5 和 5c。對(duì)于所有支持的型號(hào)，工具包可以提取用戶分區(qū)的精確位圖并解密鑰匙串。如果設(shè)備運(yùn)行的是 iOS 4 到 7，即使不破解屏幕鎖定密碼也可以執(zhí)行成像，而運(yùn)行 iOS 8 到 10 的設(shè)備則需要先破解密碼。對(duì)于所有支持的型號(hào)，工具包可以提取和解密用戶分區(qū)和鑰匙串。

(1) 通過自定義Raspberry Pi Pico 板，可以為 iPhone 4s、iPod Touch 5、iPad 2 和 3 設(shè)備提供密碼解鎖和基于 checkm8提取，滿足取證要求，該P(yáng)ico板用于針對(duì)應(yīng)用該漏洞。固件鏡像隨 iOS Forensic Toolkit 提供；不提供 Pico 板。

注意：僅限 Mac 和 Linux 版本；iPhone 4s 支持需要帶有自定義固件（已提供）的 Raspberry Pi Pico 板（未提供）。對(duì)于 iOS 4 到 7，設(shè)備鏡像不需要密碼恢復(fù)。對(duì)于 iOS 8 和 9，必須在鏡像之前恢復(fù)密碼（否則，可用的 BFU 提取有限）。為 iPhone 5 提供的解鎖速度估算；攻擊在舊設(shè)備上運(yùn)行速度較慢。

擴(kuò)展邏輯采集

iOS Forensic Toolkit支持邏輯獲取，簡(jiǎn)單安全的獲取方式。邏輯獲取會(huì)對(duì)設(shè)備中存儲(chǔ)的信息生成標(biāo)準(zhǔn)的 iTunes 式備份、提取媒體和共享文件并提取系統(tǒng)崩潰日志。雖然邏輯采集返回的信息少于低級(jí)提取，但建議專家在嘗試更具侵入性的采集技術(shù)之前創(chuàng)建設(shè)備的邏輯備份。

我們始終建議將邏輯獲取與低級(jí)提取結(jié)合使用，以安全地提取所有可能類型的證據(jù)。

快速提取媒體文件，如相機(jī)膠卷、書籍、錄音和 iTunes 媒體庫(kù)。與創(chuàng)建本地備份（這可能是一個(gè)可能很長(zhǎng)的操作）相反，媒體提取可以在所有支持的設(shè)備上快速運(yùn)行。通過使用配對(duì)記錄（鎖定文件）可以從鎖定的設(shè)備中提取數(shù)據(jù)。

除了媒體文件之外，iOS Forensic Toolkit 還可以提取多個(gè)應(yīng)用程序的崩潰/診斷日志和存儲(chǔ)文件。提取 Adobe Reader 和 Microsoft Office 本地存儲(chǔ)的文檔、MiniKeePass 密碼數(shù)據(jù)庫(kù)等等。提取需要解鎖的設(shè)備或未過期的鎖定記錄。

邏輯采集適用于所有設(shè)備，無(wú)論硬件代次和 iOS 版本如何。專家需要使用密碼或 Touch ID 解鎖設(shè)備，或者使用從用戶計(jì)算機(jī)中提取的未過期的鎖定文件。

如果設(shè)備被s配置為生成受密碼保護(hù)的備份，專家必須使用Elcomsoft Phone Breaker來恢復(fù)密碼并刪除加密。如果未設(shè)置備份密碼，該工具將自動(dòng)為系統(tǒng)配置一個(gè)臨時(shí)密碼（“123”），以便能夠解密鑰匙串項(xiàng)目（密碼將在獲取后重置）。

支持的設(shè)備和采集方法

iOS Forensic Toolkit 為從 iPhone 3G 到 iPhone 14、14 Pro 和 iPhone 14 Pro Max 系列的設(shè)備實(shí)現(xiàn)底層提取支持。

支持以下情況：

• 密碼解鎖：通過 DFU 漏洞暴力破解 4 位和 6 位屏幕鎖定密碼。所有 iOS 版本、iPhone 3G/3GS、4、4s、5 和 5c 設(shè)備。[1] [2]
• 舊版設(shè)備：iPhone 3G/3GS、4、4s、5 和 5c 設(shè)備的位精確成像和解密。[1] [2]
• 代理：為運(yùn)行 iOS 12 至 16.5 的許多設(shè)備提供完整的文件系統(tǒng)提取和鑰匙串解密。相應(yīng)的 iPad 型號(hào)也包括在內(nèi)。需要 Apple 開發(fā)者注冊(cè) (Windows)/可選 (macOS)。
• 利用 Bootrom 漏洞 (checkm8)：針對(duì)所有受支持的 iOS 版本，對(duì) 76 個(gè) Apple 設(shè)備進(jìn)行取證健全的文件系統(tǒng)和鑰匙串獲取。[1]
• 其他 Apple 設(shè)備：運(yùn)行提取代理不支持的 iOS 版本的設(shè)備的高級(jí)邏輯獲取、共享文件和媒體提取。設(shè)備必須解鎖并與專家的計(jì)算機(jī)配對(duì)。

對(duì) iPhone、iPad 和 iPod Touch 設(shè)備執(zhí)行物理和邏輯采集。鏡像設(shè)備文件系統(tǒng)，提取設(shè)備機(jī)密（密碼、加密密鑰和受保護(hù)數(shù)據(jù)）并解密文件系統(tǒng)鏡像。

1. 僅適用于 Mac 和 Linux 版本。
2. 對(duì)于 iPhone 4s，需要自定義固件 Raspberry Pi Pico 板。

Apple Watch、Apple TV 和 HomePod 提取

Elcomsoft iOS Forensic Toolkit 是市場(chǎng)上唯一一款從 Apple TV、Apple Watch 和第一代 HomePod 設(shè)備中提取信息的第三方工具。雖然專家可能會(huì)嘗試為與 Apple Watch 配對(duì)的用戶 iPhone 創(chuàng)建 iTunes 式備份，但如果 iPhone 被安全鎖定，則本地備份可能不可用。即使 iPhone 被鎖定或不可用，直接從 Watch 提取信息也可以訪問信息。雖然 Apple Watch 不提供獨(dú)立的 iTunes 式備份，但專家仍然可以訪問崩潰日志和媒體文件，包括 EXIF 和位置數(shù)據(jù)。

• 連接Watch需要第三方 IBUS 適配器
• Apple Watch S0 至 S3 的 checkm8 提取
• Apple Watch S0 至 S6 的邏輯收購(gòu)

Apple TV 設(shè)備不支持 iTunes 式備份，但如果用戶在其 iCloud 帳戶中啟用了 iCloud 照片，則可能包含用戶整個(gè) iCloud 照片庫(kù)的本地副本。由于 Apple TV 不具有密碼保護(hù)功能，因此即使用戶的 iPhone 被鎖定并且 iCloud 密碼未知，也可以提取數(shù)據(jù)。Apple TV 4 需要有線連接，Apple TV 4K 需要通過 Xcode 進(jìn)行無(wú)線連接。

Apple TV 4K（第一代）及較舊版本、Apple Watch S3 及較舊版設(shè)備以及第一代 HomePod 支持滿足取證要求的checkm8 提取?？赡苄枰ㄖ七m配器。

鑰匙串提取

Elcomsoft iOS Forensic Toolkit 可以提取鑰匙串項(xiàng)目，包括受 ThisDeviceOnly 屬性保護(hù)的鑰匙串項(xiàng)目，從而使調(diào)查人員能夠訪問高度敏感的數(shù)據(jù)，例如網(wǎng)站和其他資源（以及在許多情況下，Apple ID）的登錄/密碼信息。

在整個(gè)鑰匙串獲取過程中，設(shè)備必須保持解鎖狀態(tài)。iOS Forensic Toolkit 采用了禁用自動(dòng)屏幕鎖定的工具。

DFU、恢復(fù)和診斷模式

通過 DFU、恢復(fù)和診斷模式獲取有關(guān)鎖定和禁用設(shè)備的信息。即使設(shè)備在 10 次解鎖嘗試失敗后被鎖定，或者 USB 限制模式被激活，您仍然可以將其切換到恢復(fù)或 DFU。借助 Elcomsoft iOS Forensic Toolkit，您可以提取有關(guān)設(shè)備的重要信息，包括設(shè)備型號(hào)標(biāo)識(shí)符、ECID/UCID、序列號(hào)，以及在某些情況下的 IMEI 號(hào)碼。此外，恢復(fù)模式還會(huì)返回有關(guān)引導(dǎo)加載程序版本的信息，這有助于確定 iOS 版本或設(shè)備上安裝的 iOS 版本范圍。

使用 Raspberry Pi Pico 實(shí)現(xiàn)自動(dòng)化

使用帶有 ElcomSoft 固件的 Raspberry Pi Pico 板，可以自動(dòng)執(zhí)行一些原本耗時(shí)且勞動(dòng)密集型的例程。

自動(dòng)DFU

Auto-DFU 允許專家自動(dòng)將 iPhone 8、iPhone 8 Plus 和 iPhone X 設(shè)備切換到 DFU，從而大大簡(jiǎn)化了流程，否則將需要安裝精確計(jì)時(shí)進(jìn)行一系列按鈕操作。當(dāng)設(shè)備的按鈕損壞時(shí)，自動(dòng) DFU 模式是必不可少的，否則需要拆卸才能進(jìn)入 DFU。此功能需要使用預(yù)編程的 Raspberry Pi Pico 設(shè)備。

滾動(dòng)截圖

這種自動(dòng)功能允許以半自動(dòng)方式制作長(zhǎng)的、可滾動(dòng)的屏幕截圖。此功能適用于所有設(shè)備和 iOS 版本。

捕獲屏幕截圖可能是移動(dòng)設(shè)備調(diào)查中的關(guān)鍵步驟。通過對(duì)連接的 iOS 設(shè)備上顯示的內(nèi)容進(jìn)行一系列屏幕截圖，調(diào)查人員可以收集可能無(wú)法通過其他方式訪問的數(shù)字證據(jù)，例如高級(jí)邏輯獲取，其中受保護(hù)的聊天歷史等數(shù)據(jù)可能無(wú)法獲得。在某種程度上，這個(gè)新功能可以看作是除了云、高級(jí)邏輯和底層提取方法之外的一種新的提取工具。

用于保護(hù)代理側(cè)載的功能防火墻

側(cè)載和運(yùn)行低級(jí)提取代理可能需要通過 Apple 服務(wù)器驗(yàn)證應(yīng)用程序的數(shù)字簽名，這需要具有相關(guān)風(fēng)險(xiǎn)的在線連接。我們開發(fā)了一種基于 Raspberry Pi 4 的開源解決方案，通過將設(shè)備的連接限制為僅與證書驗(yàn)證所需的服務(wù)器來最大程度地降低風(fēng)險(xiǎn)。