支持的设备和采集方法

iOSForensic Toolkit实现了对从iPhone5s到iPhone13、13Pro、iPhone13 mini和iPhone13 Pro Max的越狱设备的物理获取支持。

以下兼容性矩阵适用：

• 密码解锁：通过DFU漏洞强行锁定4位和6位屏幕密码。所有iOS版本，iPhone 4、4s、5和5c设备。

• 传统设备：iPhone 4、4s、5和5c设备的位精确成像和解密。

• 代理（无越狱）：运行iOS 9到15.1.1的设备的完整文件系统提取和密钥链解密（基于M1的iPad Pro 5的iOS 15.1）。相应的iPad型号也包括在内。苹果开发者注册是必需的（Windows）/可选的（macOS）。

• 使用越狱：对运行任何版本的iOS的越狱设备进行物理收购，可以使用越狱（iPhone 4s到iPhone 12 Pro Max，大多数iPad型号，Apple TV 4和4K）。

• 通过Bootrom漏洞（checkm8）：从iPhone 5s到iPhone X的取证文件系统和钥匙链获取

• 无越狱：逻辑获取、共享文件和媒体提取，用于运行无越狱版本的iOS设备。设备必须使用密码、触摸ID或锁定记录解锁

执行iPhone、iPad和iPodTouch设备的物理和逻辑采集。映像设备文件系统，提取设备机密（密码、加密密钥和受保护数据）并解密文件系统映像。

兼容设备和平台

• iPhone 4、5和5c：通过DFU解锁密码（仅适用于macOS版）

• iPhone 4、4s、5和5c：具有位精确成像和钥匙链解密的物理采集（仅适用于macOS版）（iPhone 4s支持需要复盆子Pi Pico板）

• iPhone 5s、6、6 Plus、6s、6s Plus、SE（原版）、7、7 Plus、8、8 Plus、X：取证声音检查M8提取（仅适用于macOS版）

• iPad 5、6和7、iPad Mini 2、3和4、iPad Air 1和2、iPad Pro 1和2，iPod Touch 6和7，以及Apple TV 4和4K：取证声音检查M8提取（仅适用于macOS版）

• 具有越狱功能的64位iOS设备：文件系统提取、密钥链解密

• 从iPhone 5s到iPhone X的BFU、锁定和禁用的iPhone型号的部分文件系统和钥匙链获取

• 苹果电视4（有线连接）和苹果电视4K（仅通过Xcode和Mac进行无线连接）

• 苹果手表（各代）；需要第三方IBUS适配器

• 无越狱：支持设备的基于代理的提取；所有其他设备的高级逻辑采集

逻辑采集包括：

• 设备的扩展信息

• iTunes格式备份（包括许多钥匙链项目）

• 已安装应用程序列表

• 媒体文件（即使备份受密码保护）

• 共享文件（即使备份受密码保护）

系统要求

Windows

• Windows 7/8/8.1/10

ApplemacOS

• macOS 10.13 High Sierra

• macOS 10.14 Mojave

• macOS 10.15 Catalina

• macOS 11 Big Sur

• macOS 12 Monterey

用于Windows的iOSForensicToolkit需要安装最新版本的iTunes。macOS版本不保证在虚拟机或黑客电脑上工作。还请注意，该产品的某些特定功能（传统32位设备的物理购置、使用非开发人员账户的代理安装、checkm8购置）仅在macOS版本中可用。

发行说明

ElcomsoftiOS Forensic Toolkit v.7.60

2022年8月25日

• 增加了对A11-A15和M1上iOS 15.2至15.3.1的支持（仅限完整文件系统，目前无钥匙链）

• 增加了对iOS 15.6.1的支持（仅测试版）

• 改进的Apple TV 4K固件处理（仅8 beta 13版本）

• 小的改进和错误修复

卸载过程：要卸载产品，请通过“控制面板-程序和功能”遵循标准过程，或使用Windows“开始”菜单中产品文件夹中相应的Uninstall链接。

公司名称：北京哲想软件有限公司

北京哲想软件官方网站：cogitosoft.com

北京哲想软件微信公众平台账号：cogitosoftware

北京哲想软件微博：哲想软件

北京哲想软件邮箱：sales@ cogitosoft.com

销售（俞先生）联系方式： 86（010）68421378

微信：18610247936     QQ：368531638