完整文件系統(tǒng)提取和密鑰鏈解密

基于直接訪問文件系統(tǒng)的無越獄提取方法可用于有限范圍的iOS設(shè)備。使用內(nèi)部開發(fā)的提取工具，該獲取方法將提取劑安裝到被獲取的設(shè)備上。該代理與專家的計(jì)算機(jī)通信，提供強(qiáng)大的性能和極高的提取速度，每分鐘超過2.5GB的數(shù)據(jù)。

更好的是，基于代理的提取是完全安全的，因?yàn)樗炔恍薷南到y(tǒng)分區(qū)，也不重新裝載文件系統(tǒng)，同時(shí)對提取的信息執(zhí)行自動動態(tài)哈希?；诖淼奶崛〔粫τ脩魯?shù)據(jù)進(jìn)行任何更改，從而提供取證聲音提取。

文件系統(tǒng)映像和所有密鑰鏈記錄都被提取和解密?；诖淼奶崛》椒ㄌ峁┝丝煽康男阅?，并導(dǎo)致取證聲音提取。提取后，只需按一下按鈕即可從設(shè)備中移除代理。

您可以提取整個文件系統(tǒng)，也可以使用快速提取選項(xiàng)，只從用戶分區(qū)獲取文件。通過跳過存儲在設(shè)備系統(tǒng)分區(qū)中的文件，快速提取選項(xiàng)有助于減少執(zhí)行作業(yè)所需的時(shí)間，并將存儲空間減少數(shù)GB的靜態(tài)內(nèi)容。

安裝和簽署提取代理需要在AppleDeveloper Program中注冊AppleID。Mac版取消了這一要求，允許使用常規(guī)的AppleID對提取代理進(jìn)行簽名并將其側(cè)載到iOS設(shè)備上。

基于越獄的提取

除了基于代理的提取外，iOSForensic Toolkit還完全支持提取所有可使用越獄功能的越獄設(shè)備。完整文件系統(tǒng)提取和密鑰鏈解密可用于越獄設(shè)備。支持所有公共越獄。

精選iPhone和iPad型號的法醫(yī)聲音提取

為了保存數(shù)字證據(jù)，監(jiān)管鏈從數(shù)據(jù)收集的第一點(diǎn)開始，以確保在調(diào)查期間收集的數(shù)字證據(jù)保持法院受理狀態(tài)。新的、基于引導(dǎo)加載程序的提取方法跨提取會話提供可重復(fù)的結(jié)果。在受支持的設(shè)備上使用iOSForensicToolkit時(shí)，如果設(shè)備在兩次提取之間斷電，并且在此期間從不引導(dǎo)已安裝的iOS版本，則第一個提取圖像的校驗(yàn)和將與后續(xù)提取的校驗(yàn)和匹配。

新的提取方法是迄今為止最干凈的。我們實(shí)現(xiàn)的基于引導(dǎo)加載程序的漏洞利用直接源自源代碼。所有工作都完全在RAM中執(zhí)行，設(shè)備上安裝的操作系統(tǒng)保持不變，在引導(dǎo)過程中不使用。我們獨(dú)特的直接提取工藝具有以下優(yōu)點(diǎn)：

可重復(fù)的結(jié)果。如果設(shè)備一直處于關(guān)閉狀態(tài)，并且從不在會話之間引導(dǎo)iOS，則后續(xù)提取的校驗(yàn)和將與第一個匹配。

支持iPhone5s、6/6s/Plus、SE（原裝）、iPhone7/8/Plus、iPhoneX。

支持iPad5、6和7、iPadMini 2、3和4、iPadAir 1和2、iPadPro 1和2，iPodTouch 6和7，以及AppleTV 4和4K

iOS兼容性廣。支持iOS8.0至iOS15.5。

非接觸式系統(tǒng)和數(shù)據(jù)分區(qū)。

零修改策略：100%的補(bǔ)丁發(fā)生在RAM中。

與越獄相比，安裝過程得到充分指導(dǎo)，更加可靠。

鎖定設(shè)備支持BFU模式，而USB限制模式可以完全繞過。

注：引導(dǎo)加載程序級別的提取只在Mac版本中提供，需要一臺macOS計(jì)算機(jī)。