Elcomsoft iOS Forensics Toolkit: iPhone/iPad/iPod 设备取证工具包

天津鸿萌科贸发展有限公司是 ElcomSoft 系列取证软件的授权代理商。

Elcomsoft iOS Forensics Toolkit 软件工具包适用于取证工作，对 iPhone、iPad 和 iPod Touch 设备执行完整文件系统和逻辑数据采集。对设备文件系统制作镜像，提取设备机密（密码、加密密钥和受保护数据）并解密文件系统镜像。

完整的文件系统提取和钥匙串解密
逻辑获取提取备份、崩溃日志、媒体和共享文件
旧版设备的密码解锁和物理获取
提取并解密受保护的钥匙串项目
通过修改后的引导加载程序，可提取特定 iPhone 和 iPad 型号数据，满足取证要求
自动禁用屏幕锁定以实现平稳、不间断的采集

支持：各版本 iPhone、iPad、iPad Pro 和 iPod Touch、第一代 HomePod；Apple Watch、Apple TV 4 和 4K；从 iOS 3 到 iOS 17 的所有 iOS 版本

全功能介绍

| 对运行 Apple iOS 的 iPhone/iPad/iPod 设备进行取证访问

对 iPhone/iPad/iPod 设备中存储的用户数据进行完整的取证采集。Elcomsoft iOS Forensic Toolkit 允许对设备的文件系统制作镜像、提取设备机密（密码、口令和加密密钥）并通过锁定记录访问锁定的设备。

支持以下提取方法：

高级逻辑获取（备份、媒体文件、崩溃日志、共享文件）（所有设备、所有版本的 iOS）
基于代理的直接提取（所有 64 位设备，选择 iOS 版本）
基于引导加载程序的 checkm8 提取（选择设备），满足取证要求
密码解锁和真实物理获取（选择32位设备）

| 多平台可用性

iOS Forensic Toolkit 适用于 macOS、Windows 和 Linux。

Linux 版本正式支持 Debian、Ubuntu、Kali Linux 和 Mint

| 完整文件系统提取和钥匙串解密

基于直接访问文件系统的低级提取方法可用于各种 iOS 设备和操作系统版本。该采集方法使用内部开发的提取工具，将提取剂安装到正在采集的设备上。该代理与专家的计算机进行通信，提供强大的性能和极高的提取速度，最高可达每分钟 2.5 GB 的数据。

使用提取代理对于设备本身来说本质上是安全的，因为它既不会修改系统分区，也不会重新安装文件系统。提取代理采用的低级提取技术产生的数据与通过 checkm8 等物理提取方法获得的数据一样多。文件系统镜像和所有钥匙串记录都可以根据操作系统版本进行提取和解密。

可以提取整个文件系统，也可以使用快速提取选项，仅从用户分区获取文件。通过跳过存储在设备系统分区中的文件，快速提取选项有助于减少完成工作所需的时间，并减少静态内容的存储空间。

Windows 和 Linux 用户需要在 Apple 开发者计划中注册的 Apple ID 才能安装和签署提取代理。Mac 用户可以使用常规 Apple ID 来签名和旁加载提取代理。

| 使用引导加载程序漏洞进行提取，满足取证要求

为了保留数字证据，软件从数据收集的第一步就开始一系列的监管，以确保调查期间收集的数字证据仍然可以被法庭采信。基于引导加载程序的新提取方法可在提取会话中提供可重复的结果。在受支持的设备上使用 iOS Forensic Toolkit 时，第一个提取的镜像的校验和与后续提取的校验和匹配，前提是该设备在提取之间关闭电源，并且在此期间从不启动已安装的 iOS 版本。

新的提取方法是迄今为止最干净的。所有工作完全在 RAM 中执行，并且在提取过程中不会启动设备上安装的操作系统。我们独特的直接提取技术具有以下优点：

可重现结果。如果设备保持关闭状态并且在会话之间从不启动 iOS，则后续提取的校验和将与第一个提取的校验和相匹配。
支持iPhone X、iPhone 8/7/Plus、6s/6/Plus、SE（原版）、iPhone 5s
总共支持多种 Apple 型号，包括 25 款 iPhone、40 款 iPad、3 款 iPod、4 款 Apple TV 和 4 款 Apple Watch 型号
广泛的 iOS 兼容性。支持 iOS 3 到 iOS 16（A11 Bionic iPhone 不支持 iOS 16）。
不更改系统和数据分区。
零数据修改策略：100% 的修补发生在 RAM 中。
对安装过程提供完整引导，并且非常可靠。
BFU 模式支持锁定设备，而对 USB 限制模式则可以完全绕过。

兼容性：Mac 和 Linux 版本均提供引导加载程序级提取。

| 旧版设备的解锁和镜像：iPhone 3G/3GS、4、4s、5 和 5c

对旧版 iPhone 型号，提供密码解锁和镜像支持。

该工具包可用于通过尝试恢复原始 4 位或 6 位 PIN 来解锁受未知屏幕锁定密码保护的加密 iPhone 3G/3GS、4、4s (1)、5 和 5c 设备。这种 DFU 攻击只需 12 分钟即可解锁受 4 位数 PIN 保护的 iPhone 5，而 6 位数 PIN 则需要长达 21 小时。将自动使用智能攻击来尝试尽可能多地削减这次时间。在不到 4 分钟的时间内，该工具将尝试数千个最常用的密码，例如 000000、123456 或 121212，然后是基于出生日期的 6 位 PIN。其中 74,000 个此类攻击，智能攻击大约需要 1.5 小时。如果仍然不成功，则会启动其余密码的完整暴力破解。

对旧版 iOS 设备，支持完整的物理获取，包括 iPhone、iPhone 3G/3GS、4、4s (1)、5 和 5c。对于所有支持的型号，工具包可以提取用户分区的精确位图并解密钥匙串。如果设备运行的是 iOS 4 到 7，即使不破解屏幕锁定密码也可以执行成像，而运行 iOS 8 到 10 的设备则需要先破解密码。对于所有支持的型号，工具包可以提取和解密用户分区和钥匙串。

(1) 通过自定义Raspberry Pi Pico 板，可以为 iPhone 4s、iPod Touch 5、iPad 2 和 3 设备提供密码解锁和基于 checkm8提取，满足取证要求，该Pico板用于针对应用该漏洞。固件镜像随 iOS Forensic Toolkit 提供；不提供 Pico 板。

注意：仅限 Mac 和 Linux 版本；iPhone 4s 支持需要带有自定义固件（已提供）的 Raspberry Pi Pico 板（未提供）。对于 iOS 4 到 7，设备镜像不需要密码恢复。对于 iOS 8 和 9，必须在镜像之前恢复密码（否则，可用的 BFU 提取有限）。为 iPhone 5 提供的解锁速度估算；攻击在旧设备上运行速度较慢。

| 扩展逻辑采集

iOS Forensic Toolkit支持逻辑获取，简单安全的获取方式。逻辑获取会对设备中存储的信息生成标准的 iTunes 式备份、提取媒体和共享文件并提取系统崩溃日志。虽然逻辑采集返回的信息少于低级提取，但建议专家在尝试更具侵入性的采集技术之前创建设备的逻辑备份。

我们始终建议将逻辑获取与低级提取结合使用，以安全地提取所有可能类型的证据。

快速提取媒体文件，如相机胶卷、书籍、录音和 iTunes 媒体库。与创建本地备份（这可能是一个可能很长的操作）相反，媒体提取可以在所有支持的设备上快速运行。通过使用配对记录（锁定文件）可以从锁定的设备中提取数据。

除了媒体文件之外，iOS Forensic Toolkit 还可以提取多个应用程序的崩溃/诊断日志和存储文件。提取 Adobe Reader 和 Microsoft Office 本地存储的文档、MiniKeePass 密码数据库等等。提取需要解锁的设备或未过期的锁定记录。

逻辑采集适用于所有设备，无论硬件代次和 iOS 版本如何。专家需要使用密码或 Touch ID 解锁设备，或者使用从用户计算机中提取的未过期的锁定文件。

如果设备被s配置为生成受密码保护的备份，专家必须使用Elcomsoft Phone Breaker来恢复密码并删除加密。如果未设置备份密码，该工具将自动为系统配置一个临时密码（“123”），以便能够解密钥匙串项目（密码将在获取后重置）。

| 支持的设备和采集方法

iOS Forensic Toolkit 为从 iPhone 3G 到 iPhone 14、14 Pro 和 iPhone 14 Pro Max 系列的设备实现底层提取支持。

支持以下情况：

密码解锁：通过 DFU 漏洞暴力破解 4 位和 6 位屏幕锁定密码。所有 iOS 版本、iPhone 3G/3GS、4、4s、5 和 5c 设备。[1] [2]
旧版设备：iPhone 3G/3GS、4、4s、5 和 5c 设备的位精确成像和解密。[1] [2]
代理：为运行 iOS 12 至 16.5 的许多设备提供完整的文件系统提取和钥匙串解密。相应的 iPad 型号也包括在内。需要 Apple 开发者注册 (Windows)/可选 (macOS)。
利用 Bootrom 漏洞 (checkm8)：针对所有受支持的 iOS 版本，对 76 个 Apple 设备进行取证健全的文件系统和钥匙串获取。[1]
其他 Apple 设备：运行提取代理不支持的 iOS 版本的设备的高级逻辑获取、共享文件和媒体提取。设备必须解锁并与专家的计算机配对。

对 iPhone、iPad 和 iPod Touch 设备执行物理和逻辑采集。镜像设备文件系统，提取设备机密（密码、加密密钥和受保护数据）并解密文件系统镜像。

仅适用于 Mac 和 Linux 版本。
对于 iPhone 4s，需要自定义固件 Raspberry Pi Pico 板。

| Apple Watch、Apple TV 和 HomePod 提取

Elcomsoft iOS Forensic Toolkit 是市场上唯一一款从 Apple TV、Apple Watch 和第一代 HomePod 设备中提取信息的第三方工具。虽然专家可能会尝试为与 Apple Watch 配对的用户 iPhone 创建 iTunes 式备份，但如果 iPhone 被安全锁定，则本地备份可能不可用。即使 iPhone 被锁定或不可用，直接从 Watch 提取信息也可以访问信息。虽然 Apple Watch 不提供独立的 iTunes 式备份，但专家仍然可以访问崩溃日志和媒体文件，包括 EXIF 和位置数据。

连接Watch需要第三方 IBUS 适配器
Apple Watch S0 至 S3 的 checkm8 提取
Apple Watch S0 至 S6 的逻辑收购

Apple TV 设备不支持 iTunes 式备份，但如果用户在其 iCloud 帐户中启用了 iCloud 照片，则可能包含用户整个 iCloud 照片库的本地副本。由于 Apple TV 不具有密码保护功能，因此即使用户的 iPhone 被锁定并且 iCloud 密码未知，也可以提取数据。Apple TV 4 需要有线连接，Apple TV 4K 需要通过 Xcode 进行无线连接。

Apple TV 4K（第一代）及较旧版本、Apple Watch S3 及较旧版设备以及第一代 HomePod 支持满足取证要求的checkm8 提取。可能需要定制适配器。

| 钥匙串提取

Elcomsoft iOS Forensic Toolkit 可以提取钥匙串项目，包括受 ThisDeviceOnly 属性保护的钥匙串项目，从而使调查人员能够访问高度敏感的数据，例如网站和其他资源（以及在许多情况下，Apple ID）的登录/密码信息。

在整个钥匙串获取过程中，设备必须保持解锁状态。iOS Forensic Toolkit 采用了禁用自动屏幕锁定的工具。

| DFU、恢复和诊断模式

通过 DFU、恢复和诊断模式获取有关锁定和禁用设备的信息。即使设备在 10 次解锁尝试失败后被锁定，或者 USB 限制模式被激活，您仍然可以将其切换到恢复或 DFU。借助 Elcomsoft iOS Forensic Toolkit，您可以提取有关设备的重要信息，包括设备型号标识符、ECID/UCID、序列号，以及在某些情况下的 IMEI 号码。此外，恢复模式还会返回有关引导加载程序版本的信息，这有助于确定 iOS 版本或设备上安装的 iOS 版本范围。

| 使用 Raspberry Pi Pico 实现自动化

使用带有 ElcomSoft 固件的 Raspberry Pi Pico 板，可以自动执行一些原本耗时且劳动密集型的例程。

自动DFU

Auto-DFU 允许专家自动将 iPhone 8、iPhone 8 Plus 和 iPhone X 设备切换到 DFU，从而大大简化了流程，否则将需要安装精确计时进行一系列按钮操作。当设备的按钮损坏时，自动 DFU 模式是必不可少的，否则需要拆卸才能进入 DFU。此功能需要使用预编程的 Raspberry Pi Pico 设备。

滚动截图

这种自动功能允许以半自动方式制作长的、可滚动的屏幕截图。此功能适用于所有设备和 iOS 版本。

捕获屏幕截图可能是移动设备调查中的关键步骤。通过对连接的 iOS 设备上显示的内容进行一系列屏幕截图，调查人员可以收集可能无法通过其他方式访问的数字证据，例如高级逻辑获取，其中受保护的聊天历史等数据可能无法获得。在某种程度上，这个新功能可以看作是除了云、高级逻辑和底层提取方法之外的一种新的提取工具。

用于保护代理侧载的功能防火墙

侧载和运行低级提取代理可能需要通过 Apple 服务器验证应用程序的数字签名，这需要具有相关风险的在线连接。我们开发了一种基于 Raspberry Pi 4 的开源解决方案，通过将设备的连接限制为仅与证书验证所需的服务器来最大程度地降低风险。