Elcomsoft iOS Forensic Toolkit

Erhalten Sie physischen und logischen Zugriff auf Daten in iPhones, iPads und iPod Touch-Geräten. Erstellen sie Images vom Dateisystem eines Geräts, extrahieren Sie geheime Daten (Passwörter, Verschlüsselungsschlüssel und geschützte Daten) und entschlüsseln Sie Images vom Dateisystem.

  • Physische Erfassung von 32-Bit- und 64-Bit-Geräten mit iOS mithilfe eines Jailbreaks
  • Extraktion von iTunes-Backups einschließlich des Schlüsselbundes
  • Entsperrung von iOS-Geräten mithilfe von Pairing-Datensätzen (Lockdown-Dateien)
  • Entschlüsselung von Schlüsselbund-Elementen und Extraktion des Geräteschlüssels
  • Echtzeit-Dateisystemerfassung für Geräte mit Jailbreak

Unterstützt: alle Generationen von Apples iPhone, iPad und iPod Touch mit oder ohne Jailbreak; alle Versionen von iOS von den ältesten bis zu den neuesten Versionen; ältere Geräte (bis einschließlich iPhone 4) werden sofort ausgelesen unabhängig vom Sperr- bzw. Jailbreak-Zustand; logische Erfassung ohne Sperrcode mithilfe von Pairing-Datensätzen.

Full version $ 1495
Jetzt kaufen

Erweiterter forensischer Zugang zu iPhone-, iPad-, und iPod-Geräten mit Apple iOS-Betriebssystem

Führen Sie eine komplette forensische Erfassung der Nutzerdaten von iPhone-, iPad- und iPod-Geräten durch. Elcomsoft iOS Forensic Toolkit erlaubt, ein Image vom Dateisystem des Geräts zu erstellen, um geheime Daten zu extrahieren (Codesperren, Passwörter und Codeschlüssel) und die Images des Dateisystems zu entschlüsseln. Der Zugang zum größten Teil dieser Informationen wird sofort gewährt.

Bitte beachten Sie, dass manche Modelle ein Jailbreak erfordern. Siehe Kompatible Geräte und Plattforme für weitere Einzelheiten.

Physischer Zugriff für ältere, 32-Bit and 64-Bit-iOS-Geräte

Die physikalische Erfassung ist die einzige Erfassungsmethode, um vollständige Anwendungsdaten, heruntergeladene Nachrichten und den Standortverlauf zu extrahieren. Die physikalische Erfassung erfolgt in einer festen Zeitspanne. Dadurch wird sicher gestellt, dass der gesamte Inhalt eines 32-GB-Gerätes innerhalb von 40 Minuten oder weniger (abhängig von den im Gerät gespeicherten Informationen) bereit gestellt wird. In vielen Fällen können durch die physikalische Erfassung mehr Daten durch die logische Erfassung zurück geholt werden, da viele Dateien vom Betriebssystem gesperrt sind und während der logischen Erfassung nicht zugänglich sind.

Elcomsoft iOS Forensic Toolkit unterstützt sowohl ältere Hardware (iPhone 4 und älter), "jailbroken" 32-Bit-Geräte (iPhone 4s bis 5c) und "Jailbroken" 64-Bit-Geräte (iPhone 5s und neuer).

Eine proprietäre Erfassungsmethode für 64-Bit-Geräte steht exklusiv im Elcomsoft iOS Forensic Toolkit zur Verfügung. Die physische Erfassung für 64-Bit-Geräte ist zu "jailbroken" iPhones und iPads, die mit 64-Bit SoC ausgestattet sind, voll kompatibel, was eine komplette Zurückführung des Geräte-Dateisystems ermöglicht (im Gegensatz zum bitgenauen Image, das mit dem 32-Bit-Prozess extrahiert wurde). Es werden nur Geräte mit bekanntem oder leerem Passwort unterstützt; der Passwort-Schutz muss vor dem Erwerb in den iOS-Einstellungen entfernt werden.

Logischer Zugriff und Auslesen von Schlüsselbunden

iOS Forensic Toolkit unterstützt den logischen Zugriff, der im Vergleich zum physischen eine einfachere und sichere Zugriffsmethode darstellt. Dabei wird ein iTunes-ähnliches Backup von den Informationen erzeugt, die auf dem Gerät gespeichert sind. Während durch die logische Methode weniger Informationen als durch die physische gewonnen werden, wird Experten empfohlen, ein logisches Backup des Geräts zu erstellen, bevor sie weitere invasive Erfassungstechniken anwenden.

Die logische Erfassung mittels iOS Forensic Toolkit ist die einzige Erfassungsmethode, die den Zugriff auf verschlüsselte Keychain-Elemente ermöglicht. Die logische Erfassung sollte in Kombination mit der physikalischen verwendet werden, um alle möglichen Arten von Beweisen zu erhalten.

Führen Sie eine physische und logische Erfassung von iPhone-, iPad- und iPod Touch-Geräten durch. Image Device File System, extrahiert Geräte-Inhalte (Passwörter, Schlüssel und geschützte Daten) und entschlüsselt das Dateisystem-Image.

Alle Funktionen und Vorteile

Physischer Zugriff für 32-Bit- und 64-Bit-iOS-Geräte

Jedes iOS-Gerät bis einschließlich dem iPhone 4 kann ohne Beschränkungen komplett physisch ausgelesen werden. Ebenso können alle 32-Bit-Geräte mit einem Jailbreak einschließlich dem iPhone 4s, iPhone 5, iPhone 5c, dem original iPad mini und allen 32-Bit-iPads physisch ausgelesen werden. Bitweiser Zugriff auf 64-Bit-Geräte besteht mit einem Jailbreak bei deaktivierter Codesperre, indem das komplette Image über das Dateisystem ausgelesen wird.

Es gelten folgende Kompatibilitätsmuster:

  • Alle Geräte: Logischer Zugriff ist für alle Geräte verfügbar, unabhängig davon, ob es sich um eine Jailbreak- oder eine iOS-Version handelt. Unterstützt werden Lockdown-Dateien, um auf Geräte zuzugreifen, die durch Codesperre geschützt sind.
  • Ältere Modelle: Für alle Modelle bis einschließlich dem iPhone 4 kann der Speicher ohne Einschränkungen physisch ausgelesen werden. iOS-Version und Codesperre stellen keine Hindernisse dar.
  • 32-Bit-Geräte: Voraussetzung für den physischen Zugriff auf diese Geräte ist ein Jailbreak. Dann aber können alle Geräte bis zum iPhone 5c bzw. bis zum iPad mini sogar bei iOS 9.3.5 physisch ausgelesen werden.
  • 64-Bit-Geräte: Über das Dateisystem kann bei allen 64-Bit-Geräten mit Jailbreak (dies ist bislang nicht für alle Modelle verfügbar) ebenfalls bitweise der Speicher ausgelesen werden. Dies betrifft auch die neuesten Modelle iPhone 5s, 6, 6s inkl. Plus-Versionen, iPad mini 2 bis 4, iPad Air und Air 2.
  • iOS 9.3.4, 9.3.5, iOS 10.x: Logischer Zugriff ohne Jailbreak ist nur für iPhone 7, 7 Plus und diejenigen Geräte mit iOS 10 oder iOS 9 möglich. Das Gerät muss mit einer Codesperre, Touch ID oder Lockdown-Datei entsperrt werden.
  • Codesperre: Selbst bei aktiver Codesperre kann (Jailbreak vorausgesetzt) ein begrenzter Umfang an Daten abgerufen werden.

Die physische Erfassung von 64-Bit-Geräten entschlüsselt den Schlüsselbund nicht. Um auf geschützte Objekte wie gespeicherte Formulare, Passwörter und Authentifizierungs-Token zuzugreifen, sollte der physikalischen immer eine logische Erfassung über das iOS Forensic Toolkit vorausgehen.

Logischer Zugriff mit Support für Lockdown-Dateien und Auslesen von Schlüsselbunden

Der logische Zugriff ist für alle Geräte mit iOS 4 oder höher verfügbar, unabhängig davon, ob es sich um eine Hardware- oder Jailbreak-Version handelt. Allerdings muss das Gerät mindestens einmal nach dem Kaltstart entriegelt werden, andernfalls kann der Backup-Dienst nicht gestartet werden.

Experten müssen das Gerät mit Codesperre oder Touch ID entsperren oder eine nicht abgelaufene Lockdown-Datei vom Computer des Benutzers benutzen.

Wenn das Gerät konfiguriert ist, um passwortgeschützte Backups zu erzeugen, müssen Experten Elcomsoft Phone Breaker benutzen, um das Kennwort zu ermitteln und die Verschlüsselung zu entfernen. Elcomsoft Phone Breaker ist auch erforderlich, um Keychain-Daten zu lesen. Wenn kein Backup-Passwort gesetzt wurde, wird das Tool das System automatisch mit einem temporären Passwort ausstatten ("123"), um Elemente aus dem Schlüsselbund entschlüsseln zu können (das Passwort wird nach dem Zugriff zurückgesetzt).

Mit einem Datensatz zum Sperren (Kopplung) können Informationen auch nach dem Ausschalten oder Neustart von gesperrten iOS-Geräten extrahiert werden. Die folgende Übersicht gilt für Geräte mit iOS 8 bis iOS 11:

Grundlegende Geräteinformationen Erweiterte Geräteinformationen App-Liste iTunes-Stil-Backup
Gerät gesperrt, kein Sperrbericht Ja Nein Nein Nein
Gerät wurde nach dem Neustart nicht entsperrt, Sperre ist vorhanden Ja Ja Nein Nein
Gerät nach Neustart entsperrt, Sperre vorhanden Ja Ja Ja Ja
Greifen Sie auf mehr Information zu, als in iPhone-Backups verfügbar ist

ElcomSoft bietet bereits die Möglichkeit, auf die auf iPhone-, iPad- und iPod-Geräten gespeicherten Informationen zuzugreifen, indem mit Apple iTunes durchgeführte Daten-Backups entschlüsselt werden. Das neue Toolkit bietet Zugang zu wesentlich mehr Information im Vergleich zu dem, was in solchen Backups enthalten ist, einschließlich dem Zugang zu Passwörtern und Benutzernamen, E-Mails, Geo-Daten, Anwendungsdaten und mehr.

Es kann auf enorme Mengen hochsensibler Information zugegriffen werden, die in den Smartphones des Benutzers gespeichert sind. Auf zurückliegende Ortsbestimmungsdaten, angeschaute Google-Karten und -Routen, den Browserverlauf, Anrufverzeichnisse, Bilder, E-Mail- und SMS-Mitteilungen, Benutzernamen, Passwörter und fast alles, was in das iPhone eingegeben und vom Gerät im Cache gespeichert wurde, kann mit dem neuen Toolkit zugegriffen werden.

Echtzeit-Zugang zu verschlüsselten Daten

Im Gegensatz zu früher genutzten Methoden, die auf langatmige Wörterbuch-Angriffe oder Brute-Force-Passwortermittlung zurückgreifen, kann das neue Toolkit die meisten Schlüssel aus dem physischen Gerät extrahieren. Mit bequem verfügbaren Schlüsseln ist der Zugang zu den meisten Informationen in Echtzeit gewährleistet. Ein typischer Zugriff auf ein iPhone dauert 20 bis 40 Minuten (abhängig von Modell und Speichergröße). Mehr Zeit nimmt die Behandlung von 64-GB-Versionen von Apple iPads in Anspruch. Die Aufzählung der Ausnahmen ist kurz und enthält die Benutzer-Codesperre, die durch die Brute-Force-Methode oder mit einem Wörterbuchangriff ermittelt werden kann.

Schlüsselbund-Ermittlung

Elcomsoft iOS Forensic Toolkit kann auf die Geheimnisse des iOS zugreifen, einschließlich der meisten Schlüsselbund-Elemente, und Ermittlern so den Zugang zu hochsensiblen Daten wie Login- und Passwort-Daten für Websites und andere Quellen (inkl. Apple ID) eröffnen.

Bei physischem Zugriff ist das Auslesen von Schlüsselbunden(Keychains) nur für 32-Bit-Geräte möglich. Ein Zugriff auf ein 64-Bit-Gerät gibt den Apple Schlüsselbund nur in verschlüsselter Form aus.

Allerdings liest das logische Erfassungsmodul den Schlüsselbund weiterhin aus. Sie werden in der Lage sein, den Schlüsselbund zu entschlüsseln, wenn kein Passwort für das Backup im iOS-Gerät festgelegt wurde (iOS Forensic Toolkit wird ein temporäres Passwort erstellen, "123") oder wenn Sie das Original-Passwort knacken können, falls es nicht bekannt ist (mit Elcomsoft Phone Breaker).

Codesperren-Ermittlung

Das Wissen um die Original-Codesperre ist niemals erforderlich, kann aber im Falle von iOS 4-7-Geräten nützlich sein (aber für iOS 8 ist die Codesperre erforderlich). Die folgende Übersicht zeigt, wann Sie die Codesperre für einen erfolgreiche Datenerwerb benötigen.

iOS 1.x-3.x: Codesperre nicht erforderlich. Sämtliche Informationen sind zugänglich. Die Original-Codesperre wird sofort ermittelt und angezeigt.

iOS 4.0-7.x: Bestimmte Informationen, einschließlich der folgenden sind mit Codesperren-abhängigen Schlüsseln geschützt:

  • E-Mail-Mitteilungen;
  • Die meisten Keychain-Daten (gespeicherte Login-/Passwort-Daten);
  • Bestimmte Anwendungsdaten, wenn die Anwendung eine sichere Verschlüsselung verlangt hat.

iOS 8.x - 10.x: Die meisten Informationen sind verschlüsselt. Ohne die Codesperre kann man nur wenige Angaben erhalten, siehe Apple’s Take on Government Surveillance: On Its Customers’ Side für weitere Einzelheiten.

Elcomsoft iOS Forensic Toolkit kann die einfache vierstellige Codesperre von iOS 4+ in 10 bis 40 Minuten durch Brute-Force-Methode ermitteln. Komplexe Codesperren können ermittelt werden, erfordern jedoch mehr Zeit, da die Codesperren-Ermittlung direkt auf dem Gerät erfolgt und nicht “offline” auf schnellerem Equipment ausgeführt werden kann.

Tutorial

Kompatible Geräte und Plattformen

Das Toolkit unterstützt folgende iOS-Geräte unter allen iOS-Versionen bis iOS 7. Ein Jailbreak ist nicht erforderlich, die Codesperre kann umgangen oder schnell entschlüsselt werden:

  • iPhone (Original)
  • iPhone 3G
  • iPhone 3GS
  • iPhone 4 (GSM- und CDMA-Modelle)
  • iPad (1. Generation)
  • iPod Touch (Generationen 1 - 4)

Der physische Zugriff ist für die folgenden Modelle möglich (Jailbreak ist notwendig und OpenSSH muss installiert sein):

  • iPhone 4s
  • iPhone 5
  • iPhone 5c
  • iPod Touch 5. Gen.
  • iPad 2
  • iPad mit Retina-Display (3. und 4. Generation)
  • iPad mini

Die folgenden 64-Bit-Modelle werden über den physischen Zugriff unterstützt:

  • iPhone 5s
  • iPhone 6, 6 Plus
  • iPhone 6s, 6s Plus
  • iPhone 7, 7 Plus
  • iPad Air
  • iPad Air 2
  • iPad Mini 2/3/4
  • iPad Pro

Bei allen weiteren Geräten einschließlich Geräte, die unter iOS-Versionen ohne Jailbreak laufen, wird der logische Zugriff unterstützt (das Gerät muss mit einer Codesperre, Touch ID oder Lockdown-Datei entsperrt werden).

Unterstützte Betriebssysteme:

  • iOS 1-5
  • iOS 6.0-6.1.2 (mit evasi0n Jailbreak)
  • iOS 6.1.3-6.1.6 (mit p0sixspwn Jailbreak)
  • iOS 7.0 (mit evasi0n Jailbreak)
  • iOS 7.1 (mit Pangu 1.2+ Jailbreak)
  • iOS 8.0-8.1.2 (mit TaiG, PanGu oder PP Jailbreak)
  • iOS 8.1.3-8.4 (mit TaiG 2.0 Jailbreak)
  • iOS 9.0-9.1 (mit PanGu Jailbreak)
  • iOS 9.2-9.3.3 (mit PanGu Jailbreak; 64-Bit)
  • iOS 9.1-9.3.4 (mit Home Depot Jailbreak; 32-Bit)
  • iOS 10.x (mit Jailbreak; 64-Bit)
  • iOS 11.x (kein Jailbreak, logischer Zugriff)
  • Keine Jailbreak: nur logischer Zugriff

Systemanforderungen

Windows

  • Windows XP
  • Windows Server 2003/2012
  • Windows 7 (32 bit)
  • Windows 7 (64 bit)
  • Windows 8
  • Windows 8.1
  • Windows 10

Apple OS X

  • OS X 10.6
  • OS X 10.7
  • OS X 10.8
  • OS X 10.9
  • OS X 10.10
  • OS X 10.11
  • OS X 10.12

Systemanforderungen

Das iOS Forensic Toolkit für macOS X erfordert einen Intel-basierten Mac-Computer mit macOS ab Version 10.6 (Snow Leopard) bis Version 10.12 (Sierra). Zudem sollte iTunes 10.6 oder höher installiert sein.

Das iOS Forensic Toolkit verfügt über ein bekanntes Kompatibilitätsproblem mit OS X 10.10.5 bis 10.12 und alten iOS Geräten (iPhone 4 und älter), was die Verwendung des DFU-Modus erfordert. Die Erfassung neuer Geräte funktioniert mit allen OS X Versionen wie El Capitan (10.11) und Sierra (10.12).

Das Toolkit für Microsoft Windows setzt eine Installation von iTunes 10.6 oder höher unter Windows XP, Windows 7, Windows 8 / 8.1 oder Windows 10 voraus.

iTunes 10.6 oder höher sollte installiert sein.

Andere Versionen von macOS X, Windows und iTunes können auch funktionieren, wurden aber nicht getestet.

Versionshinweise

Elcomsoft iOS Forensic Toolkit v.2.40

9 November, 2017

  • extracting more data using lockdown records
  • support for Saigon jailbreak (iOS 10.2.1)

Alle Programme können über die Systemsteuerung 'Programme und Funktionen' oder über das Programm 'Deinstallieren' im Startmenü deinstalliert werden. Es wird der Standard Windows Installer Service verwendet.

Systemanforderungen

Windows

  • Windows XP
  • Windows Server 2003/2012
  • Windows 7 (32 bit)
  • Windows 7 (64 bit)
  • Windows 8
  • Windows 8.1
  • Windows 10

Apple OS X

  • OS X 10.6
  • OS X 10.7
  • OS X 10.8
  • OS X 10.9
  • OS X 10.10
  • OS X 10.11
  • OS X 10.12

Systemanforderungen

Das iOS Forensic Toolkit für macOS X erfordert einen Intel-basierten Mac-Computer mit macOS ab Version 10.6 (Snow Leopard) bis Version 10.12 (Sierra). Zudem sollte iTunes 10.6 oder höher installiert sein.

Das iOS Forensic Toolkit verfügt über ein bekanntes Kompatibilitätsproblem mit OS X 10.10.5 bis 10.12 und alten iOS Geräten (iPhone 4 und älter), was die Verwendung des DFU-Modus erfordert. Die Erfassung neuer Geräte funktioniert mit allen OS X Versionen wie El Capitan (10.11) und Sierra (10.12).

Das Toolkit für Microsoft Windows setzt eine Installation von iTunes 10.6 oder höher unter Windows XP, Windows 7, Windows 8 / 8.1 oder Windows 10 voraus.

iTunes 10.6 oder höher sollte installiert sein.

Andere Versionen von macOS X, Windows und iTunes können auch funktionieren, wurden aber nicht getestet.

Versionshinweise

Elcomsoft iOS Forensic Toolkit v.2.40

9 November, 2017

  • extracting more data using lockdown records
  • support for Saigon jailbreak (iOS 10.2.1)

Alle Programme können über die Systemsteuerung 'Programme und Funktionen' oder über das Programm 'Deinstallieren' im Startmenü deinstalliert werden. Es wird der Standard Windows Installer Service verwendet.

Elcomsoft iOS Forensic Toolkit kaufen

Full version
$ 1495
Jetzt kaufen