對(duì)運(yùn)行AppleiOS的iPhone/iPad/iPod設(shè)備的增強(qiáng)取證訪問對(duì)

      存儲(chǔ)在iPhone/iPad/iPod設(shè)備中的用戶數(shù)據(jù)進(jìn)行完整的取證。ElcomsoftiOSForensicToolkit允許成像設(shè)備的文件系統(tǒng),提取設(shè)備機(jī)密(密碼,密碼和加密密鑰)并解密文件系統(tǒng)映像。即 刻提供對(duì)大多數(shù)信息的訪問。請(qǐng)注意,某些型號(hào)需要越獄。有關(guān)詳細(xì)信息,請(qǐng)參見兼容的設(shè)備和平臺(tái)。

      借助鑰匙串提取進(jìn)行邏輯采集

      iOSForensicToolkit支持邏輯采集,這是一種比物理采集更簡(jiǎn)單,更安全的采集方法。邏輯獲取可為設(shè)備中存儲(chǔ)的信息生成標(biāo)準(zhǔn)的iTunes風(fēng)格的備份。雖然邏輯采集返回的信息少于物理信息,但建議專家在嘗試更具侵入性的采集技術(shù)之前創(chuàng)建設(shè)備的邏輯備份。

      使用iOSForensicToolkit進(jìn)行邏輯采集是唯一允許訪問加密的鑰匙串項(xiàng)目的采集方法。邏輯獲取應(yīng)與物理獲取結(jié)合使用,以提取所有可能的證據(jù)類型。

      iOS設(shè)備的

      物理采集物理采集是提取完整應(yīng)用程序數(shù)據(jù),受保護(hù)的鑰匙串項(xiàng),下載的消息和位置歷史記錄的唯一采集方法。由于直接低級(jí)別訪問數(shù)據(jù),與邏輯采集相比,物理采集返回更多信息。ElcomsoftiOSForensicToolkit支持運(yùn)行大多數(shù)版本的iOS7至12的越獄64位設(shè)備(iPhone5s和更高版本)。

      媒體和共享文件提取

      iOSForensicToolkit提供了快速提取媒體文件的功能,例如相機(jī)膠卷,書籍,錄音和iTunes媒體庫(kù)。與創(chuàng)建可能需要很長(zhǎng)時(shí)間的本地備份不同,媒體提取可以在所有受支持的設(shè)備上快速輕松地進(jìn)行。通過使用配對(duì)記錄(鎖定文件)可以從鎖定的設(shè)備中提取數(shù)據(jù)。

      除媒體文件外,iOSForensicToolkit還可提取多個(gè)應(yīng)用程序的存儲(chǔ)文件,無(wú)需越獄即可從32位和64位設(shè)備提取關(guān)鍵證據(jù)。盡管在不越獄的情況下訪問應(yīng)用程序數(shù)據(jù)受到了限制,但這項(xiàng)新技術(shù)允許提取AdobeReader和MicrosoftOffice本地存儲(chǔ)的文檔,MiniKeePass密碼數(shù)據(jù)庫(kù)等。提取需要未鎖定的設(shè)備或未到期的鎖定記錄。如果使用鎖定記錄,則除非刪除鎖定屏幕密碼,否則某些文件可能無(wú)法訪問。