Elcomsoft iOS Forensic Toolkit是一款可以帮助您采集信息的软件,主要针对iOS设备采集,大家都知道iOS是国外的系统,使用这个系统的设备是非常多的,如果您需要对该设备进行物理采集以及逻辑采集,可以通过这款同样是国外开发的Elcomsoft iOS Forensic Toolkit软件采集,提供更好的采集方式,通过命令行的方式获取设备数据,内置帮助功能,对不知道的内容可以点击帮助了解软件的菜单功能以及复制故障信息的功能!
软件功能
物理获取: 与逻辑或云采集相比提取更多信息
逻辑获取: 提取 iTunes 样式的备份, 包括钥匙串
逻辑获取: 提取崩溃日志、共享和媒体文件
逻辑获取: 使用配对记录支持锁定的设备
甚至从锁定的设备中提取设备信息
提取和解密钥匙串项目
全面负责: 调查的每一个步骤记录和记录
软件特色
对运行AppleiOS的iPhone/iPad/iPod设备的增强取证访问对
存储在iPhone/iPad/iPod设备中的用户数据进行完整的取证。ElcomsoftiOSForensicToolkit允许成像设备的文件系统,提取设备机密(密码,密码和加密密钥)并解密文件系统映像。即 刻提供对大多数信息的访问。请注意,某些型号需要越狱。有关详细信息,请参见兼容的设备和平台。
借助钥匙串提取进行逻辑采集
iOSForensicToolkit支持逻辑采集,这是一种比物理采集更简单,更安全的采集方法。逻辑获取可为设备中存储的信息生成标准的iTunes风格的备份。虽然逻辑采集返回的信息少于物理信息,但建议专家在尝试更具侵入性的采集技术之前创建设备的逻辑备份。
使用iOSForensicToolkit进行逻辑采集是唯一允许访问加密的钥匙串项目的采集方法。逻辑获取应与物理获取结合使用,以提取所有可能的证据类型。
iOS设备的
物理采集物理采集是提取完整应用程序数据,受保护的钥匙串项,下载的消息和位置历史记录的唯一采集方法。由于直接低级别访问数据,与逻辑采集相比,物理采集返回更多信息。ElcomsoftiOSForensicToolkit支持运行大多数版本的iOS7至12的越狱64位设备(iPhone5s和更高版本)。
媒体和共享文件提取
iOSForensicToolkit提供了快速提取媒体文件的功能,例如相机胶卷,书籍,录音和iTunes媒体库。与创建可能需要很长时间的本地备份不同,媒体提取可以在所有受支持的设备上快速轻松地进行。通过使用配对记录(锁定文件)可以从锁定的设备中提取数据。
除媒体文件外,iOSForensicToolkit还可提取多个应用程序的存储文件,无需越狱即可从32位和64位设备提取关键证据。尽管在不越狱的情况下访问应用程序数据受到了限制,但这项新技术允许提取AdobeReader和MicrosoftOffice本地存储的文档,MiniKeePass密码数据库等。提取需要未锁定的设备或未到期的锁定记录。如果使用锁定记录,则除非删除锁定屏幕密码,否则某些文件可能无法访问。
安装方法
1、设置软件的安装地址C:Program Files (x86)ElcomSoftiOS Forensic Toolkit
2、勾选协议内容,点击安装
3、提示安装进度,请稍后
4、提示安装完毕,点击finish
使用方法
1、在安装的地址找到Toolkit.cmd软件打开,进入测试界面
2、这里是病毒提示,软件没有病毒,将杀毒软件关闭
3、测试功能,iOS设备连接到软件获取设备数据
4、提示软件的启动界面,这里是版本以及程序的说明
5、这款软件还是比较复杂的,建议您查看帮助https://cn.elcomsoft.com/eift.html
6、使用终端(OSX)或命令行(Windows)。基于选择的文本界面可用来简化您将启动iOS
7、菜单被分成两个不同的部分:逻辑和物理。如果与计算机建立了信任关系,或者可以建立信任关系,或者可以从用户计算机访问未过期的锁定文件,则可以在非越狱设备上执行逻辑获取
主要优势
获取设备信息、备份或逻辑温泉。
-拷贝媒体文件、复制共享文件、复制故障日志
物理获取64位、配置 iOS 设备、Installina 越狱
安装 OpenSSH、禁用屏幕锁定
获取钥匙串、获取用户文件..分析包
注意事项
复制崩溃日志
崩溃日志是证据的重要组成部分,这些证据不包括在本地备份中,但是可以通过逻辑获取方法从设备中提取。为了提取崩溃日志,使用“L”:复制崩溃日志命令
已安装的应用程序列表(PowerLog、安全性、OnDemand)。
ITunes用户名(itunesstored 2 log,并不总是带有值)
电子邮件附件的文件名(MobileMail日志)
Wi-Fi网络及最新连接历史(Wi-Fi日志)
∨ 展开