ElcomSoft 公司致力于提供符合許可法規(guī)的數(shù)據(jù)取證解決方案，滿足所有相關(guān)的法律要求。

Elcomsoft iOS Forensic Toolkit 軟件提供面向 iPhone/iPad/iPod 設(shè)備的取證功能。該軟件有三種版本，分別用于 macOS、Windows 和 Linux 版本系統(tǒng)。

macOS、Windows 和 Linux 版本比較

iOS Forensic Toolkit 是一款真正的多平臺(tái)工具，在不同平臺(tái)上共享相同的用戶界面和幾乎相同的功能。這三個(gè)版本在系統(tǒng)要求（除了明顯的平臺(tái)/操作系統(tǒng)支持之外）、便利性和兼容性方面有所不同。我們從功能比較開始，介紹這些不同之處。

功能比較

Windows 版本的 iOS Forensic Toolkit 支持邏輯和基于代理的提取方法，但不支持基于引導(dǎo)加載程序的提取，這些提取僅適用于 macOS 和 Linux 平臺(tái)。使用常規(guī)的非開發(fā)人員 Apple ID 對提取代理進(jìn)行簽名的能力仍然是 Mac 版的獨(dú)有功能。

下表顯示各版本在功能方面的差異。

兼容性

Windows 版本可以在 Windows 10 和 Windows 11（目前僅限 Intel）上運(yùn)行。請注意，您必須在 Windows 計(jì)算機(jī)上安裝 iTunes（或 Apple Devices 應(yīng)用程序）;您還必須確保在該計(jì)算機(jī)上至少啟動(dòng)過一次 iTunes/Apple 設(shè)備，然后才能使用 iOS Forensic Toolkit（不必運(yùn)行它，只需啟動(dòng)一次以確保系統(tǒng)正確初始化）。在 macOS 或 Linux 計(jì)算機(jī)上，不需要任何工具。

macOS 版本支持 macOS BigSur 和更新版本。對于 macOS，Apple Silicon 計(jì)算機(jī)比老化的 Intel 平臺(tái)更受歡迎，但我們?nèi)匀煌ㄟ^ iOS Forensic Toolkit 的舊版版本支持較舊的 Mac。請注意，在某些 Intel 系統(tǒng)上可能需要重新連接設(shè)備，而在基于 Apple Silicon 的計(jì)算機(jī)上則不存在此類問題。對于僅限 Type-C 的設(shè)備，需要 USB-C 轉(zhuǎn) USB-A 集線器來連接設(shè)備和 Toolkit 的 USB 加密狗，在某些計(jì)算機(jī)上還需要連接充電線。

Linux 版本已在多個(gè) Linux 發(fā)行版上進(jìn)行了測試，正式支持當(dāng)前的 Debian、Ubuntu、Kali Linux 和 Mint 發(fā)行版，確保使用不同 Linux 設(shè)置的取證專業(yè)人員能夠無縫操作。目前支持基于 Intel 的計(jì)算機(jī)。

USB-C 端口：需要一個(gè) USB-A 端口供 Toolkit 的 USB 加密狗連接使用，另一個(gè) USB-A 端口用于 checkm8 提取。對于其他類型的提取 （agent、extended logical），我們強(qiáng)烈建議改用 USB-C 端口。最后，某些 MacBook 上可能需要另一個(gè) USB-C 端口來連接充電線。

文件系統(tǒng)：如果您計(jì)劃在不同的計(jì)算機(jī)上使用提取的數(shù)據(jù)，我們強(qiáng)烈建議將介質(zhì)（例如外部 SSD 驅(qū)動(dòng)器）格式化為 exFAT，因?yàn)?exFAT 是目前所有三個(gè)操作系統(tǒng)唯一正確支持的文件系統(tǒng)。

方便

雖然所有三個(gè)版本都共享相同的強(qiáng)大命令行界面 （CLI），但在某些情況下，一個(gè)或另一個(gè)版本有很多方面更占據(jù)優(yōu)勢。

在 Windows 中安裝是最簡單的，您只需安裝 iOS Forensic Toolkit 并立即運(yùn)行它（但請注意，您需要在該計(jì)算機(jī)上安裝并至少啟動(dòng)一次 iTunes 或 Apple 設(shè)備）。Linux 版本需要額外的依賴項(xiàng)，這些依賴項(xiàng)必須手動(dòng)安裝。

macOS 要求在安裝 Toolkit 后立即刪除隔離標(biāo)志，這在現(xiàn)代 Mac 上可能很復(fù)雜。另一方面，Mac 版支持軟件防火墻——這是 Linux 或 macOS 中不可用的功能（必須使用我們基于 Raspberry Pi 的解決方案）。

可靠性

在這三個(gè)平臺(tái)中，Mac 版在可靠性方面毫不費(fèi)力地獲勝。這部分是由于更好的驅(qū)動(dòng)程序，部分是因?yàn)橐恍〇|西可能是 Mac 原生的，但對其他平臺(tái)來說是陌生的。

結(jié)論

如果您有 Mac，請使用 Mac 設(shè)備運(yùn)行該軟件。如果能夠負(fù)擔(dān)得起 Mac，就買 Mac 設(shè)備來運(yùn)行該軟件。否則的話，Linux 版本是完全支持 checkm8 的下一個(gè)最佳選擇（我們正在努力開發(fā) ARM 版本，這將允許在經(jīng)濟(jì)實(shí)惠且高度可移植的 Raspberry Pi 5 平臺(tái)上運(yùn)行它）。Linux 版本不允許您在沒有開發(fā)人員帳戶的情況下使用代理，這將是另一筆投資。最后，如果您只能訪問 Windows，請使用您擁有的資源：iOS Forensic Toolkit 在高級(jí)邏輯提取和基于代理的低級(jí)提取方面表現(xiàn)良好（需擁有 Apple 的開發(fā)人員帳戶）。