解锁和成像传统设备：iPhone4、4s、5和5c

旧款iPhone机型提供密码解锁和图像处理支持。

通过尝试恢复原始的4位或6位PIN，该工具包可用于解锁受未知屏幕锁定密码保护的加密iPhone4、4s（1）、5和5c设备。在iPhone5和5c设备上，此DFU攻击的速度为每秒13.6个密码，只需12分钟即可解锁受4位PIN保护的iPhone。6位PIN最多需要21小时。智能攻击将自动用于尝试尽可能多地减少这一时间。在不到4分钟的时间内，该工具将尝试数千个最常用的密码，如000000、123456或121212，然后根据出生日期尝试6位PIN。其中74000人，智能攻击大约需要1.5小时。如果仍不成功，则会启动其余密码的全部暴力。（注意：iPhone4上的密码恢复速度为每秒6.6个密码）。

旧版iOS设备（包括iPhone4、4s（1）、5和5c）可进行全面物理采集。对于所有支持的模型，Toolkit可以提取用户分区的位精确图像并解密密钥链。如果设备运行的是iOS4到7，则即使不破坏屏幕锁定密码也可以执行成像，而运行iOS8到10的设备需要先破坏密码。对于所有支持的模型，Toolkit可以提取和解密用户分区和密钥链。

（1）iPhone4s、iPodTouch 5、iPad2和3设备可通过定制的flashedRaspberry Pi Pico板进行密码解锁和基于checkm8的取证，该板用于应用漏洞攻击。固件映像随iOSForensic Toolkit提供；未提供Pico板。

扩展逻辑获取

iOSForensic Toolkit支持逻辑采集，与物理采集相比，这是一种更简单、更安全的采集方法。Logicalacquisition对设备中存储的信息进行标准iTunes风格的备份，提取媒体和共享文件，并提取系统崩溃日志。虽然逻辑采集返回的信息少于物理采集，但建议专家在尝试更具侵入性的采集技术之前创建设备的逻辑备份。

我们始终建议将逻辑采集与物理采集相结合，以安全提取所有可能类型的证据。

快速提取媒体文件，如相机卷、书籍、语音记录和iTunes媒体库。与创建本地备份（这可能是一个冗长的操作）相反，媒体提取可以在所有支持的设备上快速工作。可以使用配对记录（锁定文件）从锁定设备中提取。

除了媒体文件，iOSForensic Toolkit还可以提取多个应用程序的崩溃/诊断日志和存储文件，提取关键证据而无需越狱。提取AdobeReader和MicrosoftOffice本地存储的文档、MiniKeePass密码数据库等。提取需要解锁的设备或未过期的锁定记录。

无论硬件生成和越狱状态如何，逻辑采集都可用于所有设备。冷启动后，设备必须至少解锁一次；否则，无法启动设备备份服务。

专家需要使用密码或触摸ID解锁设备，或使用从用户计算机提取的未过期锁定文件。

如果设备配置为生成密码保护的备份，专家必须使用Elcomsoft电话断路器恢复密码并删除加密。还需要Elcomsoft手机断路器来查看钥匙链记录。如果未设置备份密码，该工具将自动使用临时密码（“123”）配置系统，以便能够解密钥匙链项目（密码将在获取后重置）。

使用锁定（配对）记录，即使在断电或重新启动后，也可以从锁定的iOS设备中提取信息。以下矩阵适用于运行iOS8及更高版本的设备：

公司名称：北京哲想软件有限公司

北京哲想软件官方网站：cogitosoft.com

北京哲想软件微信公众平台账号：cogitosoftware

北京哲想软件微博：哲想软件

北京哲想软件邮箱：sales@ cogitosoft.com

销售（俞先生）联系方式： 86（010）68421378

微信：18610247936     QQ：368531638