当前位置:闪电软件园 > 应用 > 行业软件 >

Elcomsoft iOS Forensic Toolkit 7.0.313 激活版

(认准闪电软件园)
  • 浏览(
  • 更新时间:2024-04-16
  • 软件大小:未知
  • 界面语言:简体中文
  • 授权方式:共享软件
  • 运行环境:Win7/win8/win10
  • 官方网站:https://www.elcomsoft.com/eift.html

Elcomsoft iOS Forensic Toolkit是一个基于软件的解决方案,用于通过逻辑采集、文件系统提取和密钥链解密(选择64位设备)或物理采集(传统型号)从iOS设备中提取数据。从Apple iOS设备实时提取关键证据。访问手机机密,包括密码和加密密钥,并在使用或不使用原始密码的情况下解密文件系统映像。对于64位设备(iPhone 5S及更高版本、iPad Mini 2+、iPad Air、iPad Pro),如果可以越狱,或者如果收购代理支持硬件和iOS版本的组合,则收购将作为完整文件系统成像(TAR)和密钥链解密执行(附录a支持的设备)。逻辑采集适用于所有设备型号和iOS版本,无论是否有越狱。对于具有有效锁定文件(iTunes配对记录)的设备,即使没有密码,也可以进行逻辑采集。 Mac版还支持iPhone 4、iPhone 5和iPhone 5c的物理获取,包括密码解锁和密码恢复、钥匙链提取以及磁盘成像和解密。

功能特色

1、完整的文件系统提取和钥匙串解密
2、逻辑采集可提取备份、崩溃日志、介质和共享文件
3、旧设备的密码解锁和物理采集
4、提取和解密受保护的钥匙串项目
5、通过修改的引导加载程序对部分 iPhone 和 iPad 机型进行可重复的取证声音提取
6、自动禁用屏幕锁定,实现流畅、不间断的采集

新功能

1、适用于 iOS 16.0 的完全低级解压和钥匙串解密 - 16.6.1
低级文件系统提取和钥匙串解密现在可用于比以往任何时候都更广泛的 iOS 版本。iOS 16 至 16.6.1 现在提供完整的低级提取。新方法支持使用 A11 和更新芯片构建的设备,有效覆盖 iPhone 8/8 Plus/iPhone X,以及 iPhone Xs/Xr 到 iPhone 14/14 Pro 系列,并支持许多 iPad,包括基于 Apple M1 和 M2 芯片的 iPad。
2、增强了对旧设备的支持:在 Windows 和 Linux 中装载 HFS 映像
最新更新使 Windows 和 Linux 用户能够挂载从旧版 Apple 设备中提取的 HFS 磁盘映像。这项新功能使专家能够有效地处理和分析从基于 Linux 和 Windows 的计算机上的旧 Apple 设备中提取的数字证据。
3、对运行 Apple iOS 的 iPhone/iPad/iPod 设备进行取证访问
对存储在iPhone / iPad / iPod设备中的用户数据执行完整的取证采集。Elcomsoft iOS Forensic Toolkit允许对设备的文件系统进行成像,提取设备机密(密码,密码和加密密钥)并通过锁定记录访问锁定的设备。
支持以下提取方法:
高级逻辑采集(备份、媒体文件、崩溃日志、共享文件)(所有设备、所有版本的 iOS)
基于代理的直接提取(所有 64 位设备,部分 iOS 版本)
基于取证声音引导加载程序的 checkm8 提取(部分设备)
密码解锁和真正的物理采集(选择 32 位设备)
4、完整的文件系统提取和钥匙串解密
基于直接访问文件系统的低级提取方法可用于各种 iOS 设备和操作系统版本。使用内部开发的提取工具,这种采集方法将提取剂安装到被采集的设备上。该代理与专家的计算机进行通信,提供强大的性能和极高的提取速度,每分钟可传输 2.5 GB 的数据。
使用提取代理对设备本身来说本质上是安全的,因为它既不会修改系统分区,也不会重新挂载文件系统。萃取剂采用的低水平萃取技术产生的数据与通过物理萃取方法(如 checkm8)获得的数据一样多。文件系统映像和所有钥匙串记录都可以根据操作系统版本进行提取和解密。
可以提取完整的文件系统,也可以使用快速提取选项,仅从用户分区中获取文件。通过跳过存储在设备系统分区中的文件,快速提取选项有助于减少完成工作所需的时间,并将存储空间减少几千兆字节的静态内容。
Windows 和 Linux 用户需要在 Apple Developer Program 中注册的 Apple ID 才能安装提取代理并对其进行签名。Mac 用户可以使用常规 Apple ID 对提取代理进行签名和旁加载。
5、使用引导加载程序漏洞进行取证声音提取
为了保存数字证据,监管链从数据收集的第一点开始,以确保在调查期间收集的数字证据仍然可被法院接受。新的、基于引导加载程序的提取方法可在提取会话中提供可重复的结果。在受支持的设备上使用 iOS Forensic Toolkit 时,第一个提取图像的校验和将与后续提取的校验和匹配,前提是设备在提取之间关闭电源,并且在此期间从不启动已安装的 iOS 版本。
新的提取方法是迄今为止最干净的。我们基于引导加载程序的漏洞利用的实现是从头开始构建的。所有工作都完全在RAM中执行,并且在提取过程中不会启动设备上安装的操作系统。我们独特的直接萃取工艺具有以下优势:
可重复的结果。如果设备保持关机状态并且在会话之间从不启动 iOS,则后续提取的校验和将与第一个提取的校验和匹配。
支持iPhone X,iPhone 8 / 7 / Plus,6s / 6 / Plus,SE(原始),iPhone 5s
总共支持多种 Apple 机型,包括 25 款 iPhone、40 款 iPad、3 款 iPod、4 款 Apple TV 和 4 款 Apple Watch 机型
广泛的 iOS 兼容性。支持 iOS 3 到 iOS 16(A11 仿生 iPhone 不支持 iOS 16)。
未更改的系统和数据分区。
零数据修改策略:100%的补丁发生在RAM中。
安装过程是完全有指导的,并且非常坚固。
BFU 模式支持锁定设备,而 USB 受限模式可以完全绕过。
兼容性:引导加载程序级别的提取在 Mac 和 Linux 版本中可用。
6、解锁和成像传统设备:iPhone 3G/3GS、4、4s、5 和 5c
密码解锁和图像处理支持适用于旧版 iPhone 机型。
该工具包可用于通过尝试恢复原始的 3 位或 4 位或 6 位 PIN 来解锁受未知屏幕锁定密码保护的加密 iPhone 3G/3GS、4、4s (1)、5 和 5c 设备。此 DFU 攻击只需 12 分钟即可解锁受 5 位 PIN 保护的 iPhone 4,而 6 位 PIN 最多需要 21 小时。将自动使用智能攻击来尝试尽可能多地缩短这段时间。在不到 4 分钟的时间内,该工具将尝试数千个最常用的密码,例如 000000、123456 或 121212,然后是基于出生日期的 6 位 PIN。其中有 74,000 个,智能攻击大约需要 1.5 小时。如果仍然不成功,则启动其余密码的完整暴力破解。
完整的物理采集适用于传统 iOS 设备,包括 iPhone、iPhone 3G/3GS、4、4s (1)、5 和 5c。对于所有受支持的型号,Toolkit 可以提取用户分区的位精确映像并解密钥匙串。如果设备运行的是 iOS 4 到 7,则即使在不破坏屏幕锁定密码的情况下也可以执行映像,而运行 iOS 8 到 10 的设备需要先破坏密码。对于所有受支持的模型,Toolkit 可以提取和解密用户分区和钥匙串。
(1) iPhone 4s、iPod Touch 5、iPad 2 和 3 设备可通过用于应用漏洞的定制闪存 Raspberry Pi Pico 板进行密码解锁和基于 checkm8 的取证提取。固件映像随 iOS Forensic Toolkit 一起提供;不提供 Pico 板。
注意:仅限 Mac 和 Linux 版本;iPhone 4s 支持需要带有自定义固件(已提供)的 Raspberry Pi Pico 板(未提供)。对于 iOS 4 到 7,设备映像不需要恢复密码。对于 iOS 8 和 9,必须在映像之前恢复密码(否则,只能进行有限的 BFU 提取)。为 iPhone 5 提供的解锁速度估计;攻击在较旧的设备上运行速度较慢。
7、扩展逻辑采集
iOS 取证工具包支持逻辑采集,这是一种简单而安全的采集方法。逻辑采集对存储在设备中的信息进行标准的 iTunes 风格备份,提取媒体和共享文件并提取系统崩溃日志。虽然逻辑采集返回的信息比低级采集少,但建议专家在尝试更具侵入性的采集技术之前创建设备的逻辑备份。
我们始终建议将逻辑采集与低级提取结合使用,以安全地提取所有可能的证据类型。
快速提取媒体文件,例如相机胶卷、书籍、录音和 iTunes 媒体资料库。与创建本地备份(这可能是一项冗长的操作)相反,介质提取在所有受支持的设备上都能快速工作。使用配对记录(锁定文件)可以从锁定的设备中提取。
除了媒体文件,iOS Forensic Toolkit还可以提取多个应用程序的崩溃/诊断日志和存储文件。 提取Adobe Reader和Microsoft Office本地存储的文档,MiniKeePass密码数据库等等。提取需要解锁的设备或未过期的锁定记录。
逻辑采集适用于所有设备,无论其硬件代系和 iOS 版本如何。专家需要使用密码或Touch ID解锁设备,或使用从用户计算机中提取的未过期锁定文件。
如果设备配置为生成受密码保护的备份,专家必须使用 Elcomsoft Phone Breaker 来恢复密码并删除加密。如果没有设置备份密码,该工具将自动使用临时密码(“123”)配置系统,以便能够解密钥匙串项目(密码将在获取后重置)。
8、支持的设备和采集方法
iOS 取证工具包对从 iPhone 3G 到 iPhone 14、14 Pro 和 iPhone 14 Pro Max 系列的设备实现了低级提取支持。
以下兼容性矩阵适用:
密码解锁:通过 DFU 漏洞暴力破解 4 位和 6 位屏幕锁定密码。所有 iOS 版本,iPhone 3G/3GS、4、4s、5 和 5c 设备。[1][2]
传统设备:对 iPhone 3G/3GS、4、4s、5 和 5c 设备进行比特精确成像和解密。[1][2]
代理:适用于许多运行 iOS 12 至 16.5 的设备的完整文件系统提取和钥匙串解密。相应的iPad型号也包括在内。需要 Apple 开发人员注册 (Windows)/可选 (macOS)。
通过 Bootrom 漏洞 (checkm8):针对所有受支持的 iOS 版本的 76 台 Apple 设备进行取证、健全的文件系统和钥匙串采集。[1]
其他 Apple 设备:针对运行解压代理不支持的 iOS 版本的设备进行高级逻辑采集、共享文件和媒体解压。设备必须解锁并与专家的计算机配对。
对 iPhone、iPad 和 iPod Touch 设备进行物理和逻辑采集。镜像设备文件系统,提取设备密钥(密码、加密密钥和受保护数据)并解密文件系统镜像。

安装说明

1、安装软件包,勾选如下选项,进行安装设置

2、安装完成,以管理员身份从程序目录内的ToolKit.cmd运行,或以管理员身份运行ToolKit.exe。您应该得到“许可证有效,此软件没有任何限制消息”。不要安装任何更新。
闪电小编说明:
执行iPhone、iPad和iPod Touch设备的完整文件系统和逻辑采集。镜像设备文件系统,提取设备密钥(密码、加密密钥和受保护数据)并解密文件系统镜像。
软件无法下载?不知道解压密码?微信关注订阅号"闪电下载"获取

本帖长期更新最新版 请收藏下载!版权声明:本站提的序列号、注册码、注册机、破解补丁等均来自互联网,仅供学习交流之用,请在下载后24小时内删除。

  • 下载地址

捐助vip:软件无法下载?联系:sd173@foxmail.com

  • 猜你喜欢
  • 用户评论