Elcomsoft iOS Forensic Toolkit

Vollständiger Zugriff auf die Daten von iPhone-, iPad- und iPod touch-Geräten. Erstellen Sie Images vom Dateisystem eines Geräts oder greifen Sie auf Dateiebene direkt auf die Daten zu. Extrahieren Sie geheime Daten (Passwörter, Schlüssel und geschützte Daten) und entschlüsseln Sie Images vom Dateisystem.

  • Vollständiges Auslesen des ganzen Dateisystems und Entschlüsseln von Apples Schlüsselbund
  • Direkter Dateizugriff extrahiert Backups, Absturzprotokolle, Apple Unified Logs, Medien und freigegebene Dateien
  • Umgehung des Entsperrcodes und Auslesen ganzer System-Images für ältere Geräte
  • Extrahiert und entschlüsselt geschützte Einträge in Apples Schlüsselbund
  • Wiederholbare, forensisch fundierte Extraktion für ausgewählte iPhone- und iPad-Modelle durch einen modifizierten Bootloader
  • Deaktiviert automatisch die Bildschirmsperre für eine reibungslose, ununterbrochene Erfassung

Unterstützt: alle Generationen von Apple iPhone, iPad ,iPad Pro und iPod touch mit iOS 3 bis 18, alle Generationen von Apple Watch, Apple TV 4 (HD), alle Generationen von Apple TV 4K; vollständige Dateisystem-Datenextraktion für ausgewählte Modelle und Versionen über Extraktions-Agenten und Bootloadersoftware

Full version $ 2199
Jetzt kaufen

Neue Funktionen

Dateizugriff schneller und umfangreicher

Bei einem Zugriff auf das Dateisystem können mit dem iOS Forensic Toolkit 8.80 Medien oder Sysdiagnose-Daten erheblich schneller ausgelesen werden.

Apple Unified Logs über Systemzugriff extrahieren

Diese Version bietet die Möglichkeit, Apple Unified Logs zu extrahieren. Hinter Apple Unified Logs verbirgt sich eine wichtige Aufzeichnung strukturierter System- und Benutzeraktivitäten, die auf iOS-, watchOS-, macOS- und tvOS-Geräten kontinuierlich protokolliert werden. Im Gegensatz zu Sysdiagnose-Protokollen, die Momentaufnahmen des Systemzustands zu einem bestimmten Zeitpunkt darstellen, bieten Unified Logs eine fortlaufende Aufzeichnung von Ereignissen über einen längeren Zeitraum. Dies ermöglicht eine detaillierte Rekonstruktion von Benutzerinteraktionen und Systemereignissen, die für forensische Untersuchungen von entscheidender Bedeutung sein können.

Forensischer Zugang zu iPhone-, iPad-, und iPod-Geräten mit Apple iOS-Betriebssystem

Nehmen Sie eine komplette forensische Extraktion und Auswertung der Nutzerdaten von iPhone-, iPad- und iPod-Geräten vor. Mit Elcomsoft iOS Forensic Toolkit können Sie ein Image vom Dateisystem des Geräts erstellen, um geheime Daten zu extrahieren (Codesperren, Passwörter und Codeschlüssel). Lockdown-Datensätze erlauben auch den Zugriff auf gesperrte Geräte.

Die folgenden Extraktionsmethoden werden unterstützt:

  • Erweiterte Erfassung auf Systemebene (Backups, Medien, Absturzprotokolle, Apple Unified Logs, freigegebene Dateien) (für alle Geräte, für alle Versionen von iOS)
  • Agentenbasierte Daten-Extraktion (alle 64-Bit-Geräte, ausgewählte iOS-Versionen)
  • Forensisch valide Extraktion mittels Bootloader (ausgewählte Geräte)
  • Entsperren des Sperrcodes und echte Erfassung des vollständigen Speicherabbilds (ausgewählte 32-Bit-Geräte)

Siehe Kompatible Geräte und Plattformen für weitere Einzelheiten.

Verfügbarkeit auf mehreren Plattformen

Das iOS Forensic Toolkit ist für macOS, Windows und Linux verfügbar. Die Funktionen im Vergleich:

Funktion macOS Windows Linux*
Erweiterte Geräteinformationen abrufen
Dateizugriff (auf Backups im iTunes-Stil)
Gewinnen von Medien und Metadaten
Auslesen von Sysdiagnose-Protokollen und Apple Unified Logs
Agenten-basierte Extraktion mit Developer Accounts
Agenten-basierte Extraktion mit regulären Konten
Bootloader-basierte Extraktion und Umgehung des Sperrcode
Zusätzliche Serviceleistungen

Die Linux-Edition unterstützt offiziell Debian, Ubuntu, Kali Linux und Mint.

Vollständiges Auslesen von Speicherabbildern und Entschlüsseln des Apple Schlüsselbunds

Für eine breite Anzahl von iOS-Geräten und iOS-Versionen ist eine Extraktionsmethode verfügbar, die auf den direkten Zugriff auf den Systemspeicher abzielt. Mithilfe eines eigens entwickelten Extraktionstools wird hier ein Extraktions-Agent direkt auf dem Gerät installiert. Der Agent kommuniziert mit dem Computer des Forensikers und bietet ihm eine solide Performance von 2,5 GB Daten, die pro Minute ausgelesen werden können.

Die Verwendung des Extraktions-Agenten ist grundsätzlich sicher für das Gerät selbst, da weder die Systempartition geändert noch das Dateisystem erneut eingebunden werden muss. Die vom Extraktions-Agenten verwendete Low-Level-Extraktionstechnik liefert den gleichen Umfang an Daten wie die, die durch Bootloader-basierte Extraktions-Methoden gewonnen werden. Abhängig von der Betriebssystemversion können sowohl das Dateisystem-Image als auch alle Einträge von Apples Schlüsselbund extrahiert und entschlüsselt werden.

Man kann entweder das gesamte Dateisystem extrahieren oder eine Express-Variante wählen, die nur die Dateien der Benutzerpartition abruft. Die Express-Variante hilft, Zeit und Speicherplatz zu sparen, indem nur der Inhalt der Datenpartition mit Benutzerdaten abgerufen wird, während die Systempartition übergangen wird.

Für das Aufspielen des Extraktions-Agenten ist die Verwendung einer Apple-ID erforderlich. Es können sowohl reguläre als auch Entwickler-Apple-IDs verwendet werden.

Forensisch fundierte Extraktion mit Bootloader-Exploit

Zur Sicherung digitaler Beweismittel wird die Unveränderbarkeit der Daten ab dem ersten Zeitpunkt der Datenerhebung gefordert. Dies gewährleistet, dass während der Ermittlungen erhobene digitale Beweismittel gerichtlich zulässig bleiben. Die neue, Bootloader-basierte Extraktionsmethode liefert zuverlässige Ergebnisse auch dann, wenn die Datenextraktion nicht in einem Rutsch erfolgt, sondern über mehrere Sessions hinweg. Wenn das iOS Forensic Toolkit auf einem unterstützten Gerät verwendet wird, stimmt die Prüfsumme des ersten extrahierten Images mit den Prüfsummen nachfolgender Extraktionen überein, vorausgesetzt, das Gerät wurde zwischen den Sitzungen ausgeschaltet und es wurde zu keinem Zeitpunkt das installierte iOS gestartet.

Die neue Extraktions-Methode ist die bisher sauberste. Unsere Implementierung des Bootloader-basierten Exploits ist von Grund auf neu konstruiert. Sie basiert vollständig auf unserer internen technischen Entwicklung und ist nicht auf ein Jailbreak angewiesen wie vergleichbare Lösungen. Alle Prozesse werden vollständig im RAM ausgeführt, und das auf dem Gerät installierte Betriebssystem wird während des Extraktions-Prozesses nicht gestartet. Damit bieten sich Nutzern unseres Extraktionsverfahrens folgende Vorteile:

  • Wiederholbare Ergebnisse. Prüfsummen nachfolgender Extraktionen stimmen mit der ersten überein, wenn das Gerät ausgeschaltet bleibt und iOS zwischen den Sitzungen nicht startet.
  • Unterstützt iPhone X, iPhone 8, 7, 7 Plus, 6s, 6, 6 Plus, SE (Original), iPhone 5s.
  • Unterstützt eine Vielzahl von weiteren Apple-Modellen, darunter 25 iPhone-, 40 iPad-, 3 iPod-, 4 Apple TV- und 4 Apple-Watch-Modelle.
  • Breite iOS-Kompatibilität. iOS 3 bis iOS 16 werden unterstützt (bislang keine Unterstützung für alle iOS-16-Versionen auf A11-Bionic iPhones).
  • Unveränderte Speicherabbilder von System- und Datenpartitionen.
  • Hohe Datenauthentizität: 100% der Ausführung erfolgt im RAM.
  • Assistent für den Installationsprozess und äußerst robust.
  • Gesperrte Geräte werden im BFU-Modus unterstützt, während der eingeschränkte USB-Modus vollständig umgangen werden kann.

Kompatibilität: Extraktionen auf Bootloader-Ebene sind für die Mac- und Linux-Version verfügbar.

Entsperren und Imaging der älteren Geräte: iPhone 3GS, 4, 4s, 5 und 5c

Für ältere iPhone-Modelle sind das Umgehen des Sperrcode und das Auslesen vollständiger Datenträger-Images möglich.

Mit dem Toolkit können verschlüsselte iPhone 3GS-, 4-, 4s- (1), 5- und 5c-Geräte entsperrt werden, auch dann, wenn der Entsperrcode nicht mehr bekannt ist. EIFT kann die ursprüngliche 4-stellige oder 6-stellige PIN wiederherstellen. Das Entsperren eines mit einer 4-stelligen PIN geschützten iPhone 5 dauert weniger als 12 Minuten. Das Wiederherstellen von 6-stelligen PINs dauert bis zu 21 Stunden.

Eine vollständige physische Erfassung ist für eben genannte Geräte ebenfalls möglich. Für alle unterstützten Modelle kann das Toolkit das bitgenaue Image der Benutzerpartition extrahieren und den Apple Schlüsselbund entschlüsseln. Wenn auf dem Gerät iOS 4 bis 7 ausgeführt wird, kann das Imaging auch ohne Wiederherstellung des Passcodes durchgeführt werden, während bei Geräten mit iOS 8 bis 10 zuerst der Passcode wiederhergestellt werden muss. Für alle unterstützten Modelle kann das Toolkit die Benutzerpartition und den Apple Schlüsselbund extrahieren und entschlüsseln.

Außerdem können 32-Bit-Geräte auch dann entsperrt und ausgelesen werden, wenn sie sich nach 10 erfolglosen Passwortversuchen im Sperrzustand befinden.

Erweiterter Dateizugriff

iOS Forensic Toolkit unterstützt den direkten Dateizugriff, eine einfache und sichere Zugriffsmethode. Beim direkten Dateizugriff wird eine standardmäßige iTunes-ähnliche Sicherung der auf dem Gerät gespeicherten Informationen erstellt. Medien-Dateien und freigegebene Daten können abgerufen werden und System-Crash-Logs extrahiert werden. Zwar können mittels direktem Dateizugriff weniger Informationen gewonnen werden als bei der Low-Level-Extraktion mittels Speicherabbildern ausgelesen werden können, dennoch wird Experten empfohlen, zuerst ein logisches Backup des Geräts zu erstellen, bevor weitere invasive Erfassungstechniken zum Zuge kommen.

Grundsätzlich empfehlen wir, die Extraktion auf Datei-Ebene in Kombination mit Low-Level-Methoden zu verwenden, um an alle Arten von Beweisen und Spuren zu gelangen.

Extrahieren Sie schnell Mediendateien wie Kameraaufnahmen, Bücher, Sprachaufnahmen und Daten der iTunes-Mediathek. Im Gegensatz zum Erstellen einer lokalen Sicherung, bei der es sich möglicherweise um eine langwierige Angelegenheit handeln kann, funktioniert die Medienextraktion auf allen unterstützten Geräten sehr zügig. Das Auslesen von Daten aus gesperrten Geräten ist durch die Anwendung der Lockdown-Datei möglich.

Der direkte Dateizugriff ist auf allen Geräten möglich, egal welche Hardware- oder iOS-Version. Experten müssen das Gerät jedoch regulär mit Codesperre oder Touch ID entsperren oder eine nicht abgelaufene Lockdown-Datei vom Computer des Benutzers hierzu verwenden.

Wenn das Gerät konfiguriert ist, um passwortgeschützte Backups zu erzeugen, müssen Experten Elcomsoft Phone Breaker benutzen, um zunächst das Backup-Passwort zu ermitteln und die Verschlüsselung zu entfernen. Wenn kein Backup-Passwort gesetzt wurde, wird das Tool das System automatisch mit einem temporären Passwort ausstatten ("123"), um Elemente aus dem Apple Schlüsselbund entschlüsseln zu können (das Passwort wird nach dem Zugriff zurückgesetzt).

Apple Unified Logs und Sysdiagnose-Extraktion

Bei der Durchführung einer erweiterten Daten-Extraktion über den Dateizugriff kann das iOS Forensic Toolkit Absturz-/Diagnoseprotokolle sowie Apple Unified Logs extrahieren.

Sysdiagnose-Protokolle enthalten detaillierte Informationen zu den Systemaktivitäten des Geräts während der letzten 24 Stunden unmittelbar bevor die Sysdiagnose-Daten erstellt wurden.

Apple Unified Logs stellen eine wichtige Quelle für eine strukturierte Sammlung von System- und Benutzeraktivitäten dar, die auf iOS-, watchOS-, macOS- und tvOS-Geräten kontinuierlich protokolliert werden. Im Gegensatz zu Sysdiagnose-Protokollen, die Momentaufnahmen des Systemzustands zu einem bestimmten Zeitpunkt darstellen, bieten Unified Logs eine fortlaufende Aufzeichnung von Ereignissen über einen längeren Zeitraum. Dies ermöglicht eine detaillierte Rekonstruktion von Benutzerinteraktionen und Systemereignissen, die für forensische Untersuchungen von entscheidender Bedeutung sein können.

Unterstützte Geräte und Erfassungsmethoden

iOS Forensic Toolkit unterstützt die Low-Level-Extraktion auf Geräten mit Jailbreak vom iPhone 3GS bis hin zum iPhone 14, 14 Pro und iPhone 14 Pro Max.

Es gelten folgende Kompatibilitäten:

  • Passcode entsperren: Stellt 4-stellige und 6-stellige Bildschirm-Sperrcodes über DFU-Exploit wieder her. Unterstützt werden alle iOS-Versionen auf iPhone 3GS-, 4-, 4s-, 5- und 5c-Geräten, sowie weiteren Geräten, die auf ähnlichen Chipsätzen basieren. [1][2]
  • Ältere Geräte: Bitgenaues Imaging und Entschlüsselung für iPhone 3GS-, 4-, 4s-, 5- und 5c-Geräte. [1][2]
  • Agentenbasierte Extraktion: Vollständiges Auslesen des kompletten Dateisystems und entschlüsseln von Apple Schlüsselbund für die meisten Geräte mit iOS 12 bis 16.5. Die entsprechenden iPad-Modelle werden ebenfalls unterstützt.
  • Über einen Bootrom-Exploit (checkm8): Forensisch zuverlässiger Zugriff auf das Dateisystem und auf Apple Schlüsselbund für insgesamt 76 verschiedene Geräte von Apple für alle unterstützten iOS-Versionen [1].
  • Andere Apple-Geräte: Erweiterter Dateizugriff auf freigegebene Dateien und Zugriff auf Medien für Geräte, auf denen iOS-Versionen ausgeführt werden, die vom Extraktions-Agenten nicht unterstützt werden. Das Gerät muss entsperrt und mit dem Computer des Forensikers gekoppelt sein.

Gewinnen Sie Daten mittels direktem Speicherzugriff oder durch den Zugriff auf Dateiebene. Gelangen Sie an die Daten aller iPhone-, iPad- und iPod touch-Geräte. Das Image Device File System, extrahiert Geräte-Inhalte (Passwörter, Schlüssel und geschützte Daten) und entschlüsselt das Dateisystem-Image.

  1. Nur in der Mac- und Linux-Version verfügbar. 

  2. Die iPhone 4s-Unterstützung erfordert die Verwendung eines Raspberry Pi Pico-Boards. 

Exploring iPadOS, tvOS and audioOS 17 and 18 Devices: File System and Keychain Extraction
Extracting Apple Unified Logs
Cheat Sheet: Perfect Acquisition (32-bit)
iOS Forensic Toolkit Now Supports All Models of Apple Watch
Extraction Agent: Offline Extraction with All Developer Accounts
Elcomsoft Endbenutzer Lizenzvereinbarung

Related Products

Elcomsoft Mobile Forensic Bundle
Elcomsoft Mobile Forensic Bundle

von $ 3999

Elcomsoft Phone Viewer
Elcomsoft Phone Viewer

von $ 79

Elcomsoft Phone Breaker
Elcomsoft Phone Breaker

von $ 199

Alle Funktionen und Vorteile

Apple Watch-Extraktion: Alle Modelle werden unterstützt

Tragbare Geräte spielen bei strafrechtlichen Ermittlungen eine immer wichtigere Rolle. Aus tragbaren Geräten gewonnene Informationen liefern wertvolle Erkenntnisse, die sowohl der Strafverfolgung als auch der Verteidigung helfen. Durch das direkte Extrahieren von Informationen aus der Apple Watch können Sie auf Informationen zugreifen, auch wenn das iPhone gesperrt oder nicht verfügbar ist. Experten können auf Absturzprotokolle und Mediendateien einschließlich EXIF- und Standortdaten zugreifen.

Ab der Serie 7 verfügten Apple Watch-Geräte nicht mehr über einen kabelgebundenen Zugangsport, da sie zum Debuggen und Kommunizieren mit einem PC auf ein drahtloses NFC-Protokoll umgestiegen waren. Zum Verbinden der Apple Watch Series 7 und neuerer Modelle ist ein WLAN-Adapter erforderlich.

Das iOS Forensic Toolkit unterstützt die gesamte Palette der Apple Watch-Geräte ohne Ausnahme.

  • Zum Anschließen der Apple Watch ist ein Adapter erforderlich
  • Zum Verbinden einer Apple Watch S7 bis S10, SE2 oder eines Apple Watch Ultra-Geräts ist ein WLAN-Adapter erforderlich
  • checkm8-Extraktion für Apple Watch S0 bis S3
  • Dateizugriff für Apple Watch S0 bis S10, SE1, SE2, Apple Watch Ultra und Ultra 2
Apple TV- und HomePod-Extraktion

Elcomsoft iOS Forensic Toolkit ist die einzige Drittanbietersoftware auf dem Markt, die Informationen von Apple TV und HomePod-Geräten der ersten Generation extrahiert. Aktiviert der Nutzer iCloud Photos in seinem iCloud-Konto, können Apple TV-Geräte eine lokale Kopie der gesamten iCloud Photo Library des Benutzers enthalten. Da Apple TV keinen Sperrcode-Schutz bietet, ist die Extraktion auch dann möglich, wenn das iPhone des Benutzers gesperrt ist und das iCloud-Kennwort nicht bekannt ist. Für Apple TV 4 ist eine Kabelverbindung erforderlich. Apple TV 4K (1. und 2. Generation) erfordert einen WLAN-Adapter, 4K-Modelle der ersten Generation unterstützen Bootloader-Extraktionen, während Modelle der zweiten Generation nur den Zugriff auf Dateiebene unterstützen. 4K-Modelle der dritten Generation werden nicht unterstützt.

Die forensisch fundierte checkm8-Extraktion wird für Apple TV 4K (1. Generation) sowie den HomePod der ersten Generation unterstützt. Möglicherweise ist ein Adapter eines Drittanbieters erforderlich.

Auslesen des Apple Schlüsselbunds

Elcomsoft iOS Forensic Toolkit kann Einträge des Apple Schlüsselbunds extrahieren, einschließlich solcher, die mit dem ThisDeviceOnly-Attribut geschützt sind, wodurch Ermittler Zugriff auf hochsensible Daten wie Login-/Passwortinformationen zu Websites und anderen Portalen (und in vielen Fällen auch auf die Apple-ID) erhalten.

Das Gerät muss während des gesamten Vorgangs des Auslesens des Apple Schlüsselbunds entsperrt bleiben. Das iOS Forensic Toolkit implementiert ein Tool zum Deaktivieren der automatischen Bildschirmsperre.

DFU / Wiederherstellungs- und Diagnosemodus

Informationen zu gesperrten und deaktivierten Geräten erhalten Sie im DFU-, Wiederherstellungs- und Diagnosemodus. Wenn das Gerät nach 10 erfolglosen Entsperrversuchen gesperrt ist oder wenn der eingeschränkte USB-Modus aktiviert ist, können Sie es dennoch in den Wiederherstellungs- oder DFU-Modus versetzen. Mit dem Elcomsoft iOS Forensic Toolkit können Sie dann wichtige Informationen über das Gerät auslesen, einschließlich der Gerätemodell-ID, der ECID/UCID, der Seriennummer und in bestimmten Szenarien auch der IMEI-Nummer. Darüber hinaus gibt der Wiederherstellungsmodus Informationen zur Bootloader-Version zurück. Durch die Analyse der Bootloader-Version zeigt das Tool Informationen zur aktuell installierten iOS-Version oder dazu, welche iOS-Versionen auf diesem Gerät installiert waren, an.

Automatisierung mit Raspberry Pi Pico

Durch die Verwendung eines mit ElcomSoft-Firmware geflashten Raspberry Pi Pico-Boards ist es möglich, einige ansonsten zeitaufwändige und arbeitsintensive Routinen zu automatisieren.

Auto-DFU

Auto-DFU ermöglicht es Experten, das Umschalten von iPhone 8-, iPhone 8 Plus- und iPhone X-Geräten in den DFU-Modus zu automatisieren, wodurch der Prozess erheblich vereinfacht wird, der sonst aus einer langen Abfolge von Tastendrücken mit präzisen Timings besteht. Der automatische DFU-Modus ist unverzichtbar, wenn man ein Gerät mit defekten Tasten auslesen möchte, das andernfalls erst zerlegt werden müsste, um es in den DFU-Modus zu versetzen. Erforderlich für die Auto-DFU-Funktion ist ein vorkonfigurierter Raspberry Pi Pico.

Scrolling Screenshots

Diese Funktion fügt die Möglichkeit hinzu, halbautomatisch lange, scrollfähige Screenshots zu erstellen. Die neue Funktion ist für alle Geräte und Versionen von iOS verfügbar.

Das Sammeln und Speichern von Screenshots ist immer noch ein entscheidender Schritt bei der Untersuchung von Mobilgeräten. Durch das Erstellen einer Reihe von Screenshots von dem, was auf einem angeschlossenen iOS-Gerät angezeigt wird, können Ermittler digitale Beweise sammeln, die möglicherweise sonst nicht zugänglich sind. Zum Beispiel könnten durch den erweiterten Dateizugriff geschützte Chatverläufe möglicherweise nicht abgerufen werden. In gewisser Weise kann die neue Funktion als neues Extraktionstool neben Cloud-, erweiterten Dateizugriff und dem Auslesen von Speicherabbildern angesehen werden.

Funktionale Firewall zur Sicherung des Agenten-Sideloadings

Das Querladen und Ausführen des Low-Level-Extraktions-Agenten erfordert möglicherweise die Validierung der digitalen Signatur der App über Apple-Server, was eine Online-Konnektivität mit entsprechenden Risiken erfordert. Wir haben eine Open-Source-Lösung auf Basis eines Raspberry Pi 4 entwickelt, die die Risiken minimiert, indem sie die Verbindung des Geräts ausschließlich auf den für die Zertifikatsüberprüfung erforderlichen Server beschränkt.

Tutorial

Kompatible Geräte und Plattformen

Das iOS Forensic Toolkit unterstützt den erweiterte Dateizugriff sowie Agenten- und Bootloader-basierte Low-Level-Extraktions-Methoden.

Erweiterter Dateizugriff:

  • Unterstützt alle Apple iPhone-, iPad- und iPod touch-Modelle unabhängig von der iOS-Version
  • Unterstützung für Apple Watch (alle Modelle) und Apple TV-Geräte
  • Erweiterte Geräteinformationen inklusive einer Liste der installierten Anwendungen
  • Zugriff auf Backups im iTunes-Format (umfasst viele Einträge des Apple Schlüsselbunds)
  • Zugriff auf Mediendateien und freigegebene Dateien, auch wenn das Backup passwortgeschützt ist
  • Auslesen von Apple Unified Logs und Sysdiagnose-Protokolle

Agentenbasierte Extraktion:

  • Unterstützt alle Apple iPhone-, iPad- und iPod touch-Modelle, sofern die jeweilige iOS-Version unterstützt wird
  • iOS/iPadOS 12.0 bis 16.6.1 wird auf kompatiblen Geräten unterstützt
  • Informationen zur Kompatibilität finden Sie in der folgenden Tabelle
  • Agentenbasiert kann das vollständige Dateisystem-Image und der Apple Schlüsselbund extrahiert werden

Extraktion auf Bootloader-Ebene:

  • Für 64-Bit-Geräte werden das vollständige Dateisystem-Image und der Apple Schlüsselbund extrahiert
  • Für ältere 32-Bit-Geräte wird neben dem erstellten Image die Datenpartition gleich entschlüsselt
  • iPhone 3GS, 4, 4s, 5 und 5c: Entsperrung mittels DFU-Modus (macOS- und Linux Version)
  • iPhone 3GS, 4, 4s, 5 und 5c: direkter Speicherzugriff erlaubt das Erfassen bitgenauer System-Images und einer Entschlüsselung des Apple Schlüsselbunds (macOS- und Linux-Version)
  • iPhone 3GS, 4, 4s, 5, 5c, 5s, 6, 6s, SE, 7, 8, X, iPod touch 5, 6, 7, iPad 2, 3, 4, 5, 6, 7, iPad Mini 1, 2, 3, 4, iPad Air 1, 2, iPad Pro 1, 2, Apple TV 3, 4, 4K, Apple Watch S3: forensisch valide Bootloader-Extraktion auf Low-Level-Ebene (macOS- und Linux-Version)
  • Eingeschränkter Zugriff auf die Dateisysteme und den Apple Schlüsselbund für gesperrte und deaktivierte iPhone-Modelle von iPhone 5s bis iPhone X von mittels BFU
  • Apple TV 4 (kabelgebunden) und Apple TV 4K (Mac- und Linux-Version)
  • Apple Watch (checkm8 für Apple Watch S0-S3, Dateizugriff für Apple Watch S0 bis S10, SE, SE2, Ultra, Ultra 2); benötigt einen Adapter von Drittanbietern, checkm8-Extraktionen werden nur in der macOS- und Linux-Version unterstützt
  • HomePod (erste Generation); vollständige checkm8-Extraktion; erfordert einen benutzerdefinierten 3D-druckbaren USB-Adapter (macOS- und Linux-Editionen)

Exploring iPadOS, tvOS and audioOS 17 and 18 Devices: File System and Keychain Extraction
Extracting Apple Unified Logs
Cheat Sheet: Perfect Acquisition (32-bit)
iOS Forensic Toolkit Now Supports All Models of Apple Watch
Extraction Agent: Offline Extraction with All Developer Accounts
Elcomsoft Endbenutzer Lizenzvereinbarung

Related Products

Elcomsoft Mobile Forensic Bundle
Elcomsoft Mobile Forensic Bundle

von $ 3999

Elcomsoft Phone Viewer
Elcomsoft Phone Viewer

von $ 79

Elcomsoft Phone Breaker
Elcomsoft Phone Breaker

von $ 199

Systemanforderungen

Windows

  • Windows 7/8/8.1/10/11

Apple macOS

  • macOS 11 Big Sur
  • macOS 12 Monterey
  • macOS 13 Ventura
  • macOS 14 Sonoma

Linux

  • Debian
  • Ubuntu
  • Mint
  • Kali
  • Arch Linux ARM64 (custom)
  • Astra Linux 1.8 or later

Das iOS Forensic Toolkit für Windows erfordert eine aktuelle iTunes-Installation. Es wird nicht garantiert, dass die macOS-Version auf einer virtuellen Maschine funktioniert. Einige spezifische Funktionen können in bestimmten Versionen nicht verfügbar sein. Weitere Informationen finden Sie in der Kompatibilitätstabelle. Die Linux-Version unterstützt Debian, Ubuntu, Kali Linux und Mint und erfordert zusätzliche Abhängigkeiten.

Versionshinweise

Elcomsoft iOS Forensic Toolkit v.8.81

6 November, 2025

  • checkm8: added full file system & keychain extraction for iPadOS/tvOS/audioOS 17 running on iPad 6 & 7, iPad Pro 2, Apple TV HD and 4K (1st gen), HomePod (1st gen) via bootloader exploit (macOS & Linux versions)
  • checkm8: added full file system & keychain extraction for iPadOS/tvOS/audioOS 18 running on iPad 7, Apple TV HD and 4K (1st gen), HomePod (1st gen) via bootloader exploit (macOS & Linux versions)
  • bugfix: minor bug fixes and compatibility improvements

Alle Programme können über die Systemsteuerung 'Programme und Funktionen' oder über das Programm 'Deinstallieren' im Startmenü deinstalliert werden. Es wird der Standard Windows Installer Service verwendet.

Exploring iPadOS, tvOS and audioOS 17 and 18 Devices: File System and Keychain Extraction
Extracting Apple Unified Logs
Cheat Sheet: Perfect Acquisition (32-bit)
iOS Forensic Toolkit Now Supports All Models of Apple Watch
Extraction Agent: Offline Extraction with All Developer Accounts
Elcomsoft Endbenutzer Lizenzvereinbarung

Related Products

Elcomsoft Mobile Forensic Bundle
Elcomsoft Mobile Forensic Bundle

von $ 3999

Elcomsoft Phone Viewer
Elcomsoft Phone Viewer

von $ 79

Elcomsoft Phone Breaker
Elcomsoft Phone Breaker

von $ 199

Elcomsoft iOS Forensic Toolkit kaufen

Full version
$ 2199
Jetzt kaufen

Unternehmensnachrichten / Artikel

6 November, 2025

iOS Forensic Toolkit 8.81 bietet Unterstützung für checkm8-Extraktionen unter iOS 17 und 18

13 October, 2025

EIFT 8.80: Direkter Zugriff auf Dateien und Apple Unified Logs

15 May, 2025

iOS Forensic Toolkit 8.70: expanded Apple Watch support and offline agent installation

5 October, 2023

Elcomsoft iOS Forensic Toolkit 8.41: portable Windows-Edition

2 August, 2023

Die Low-Level-Extraktions-Unterstützung für iOS 16.5

Pressemeldungen

30 June, 2023

Elcomsoft iOS Forensic Toolkit 8.30 mit Low-Level-Extraktion für Apple iOS 16 bis 16.3.1

30 March, 2023

Elcomsoft iOS Forensic Toolkit 8.20 mit Low-Level-Extraktion auf iOS 16.1.2 auf allen aktuellen Apple-Geräten

10 February, 2022

ElcomSoft mit forensisch fundierter checkm8-Daten-Extraktion aus iPhone 8, X, Apple Watch 3

17 November, 2021

ElcomSoft mit wiederholbarer forensisch fundierter Extraktion für iOS 15

18 March, 2021

ElcomSoft mit forensischer Extraktion von iOS 14- und iPhone 12-Geräten ohne Jailbreak