Elcomsoft iOS Forensic Toolkit

Erhalten Sie physischen und logischen Zugriff auf Daten in iPhones, iPads und iPod Touch-Geräten. Erstellen sie Images vom Dateisystem eines Geräts, extrahieren Sie geheime Daten (Passwörter, Verschlüsselungsschlüssel und geschützte Daten) und entschlüsseln Sie Images vom Dateisystem.

  • Physische Erfassung von 32-Bit- und 64-Bit-Geräten mit iOS mithilfe eines Jailbreaks
  • Logische Erfassung von iTunes-Style-Backups einschließlich des Schlüsselbundes
  • Entsperrung von iOS-Geräten mithilfe von Pairing-Datensätzen (Lockdown-Dateien)
  • Entschlüsselung von Schlüsselbund-Elementen und Extraktion des Geräteschlüssels
  • Echtzeit-Dateisystemerfassung für Geräte mit Jailbreak
  • Schnelle Extraktion von Media und gemeinsamen Dateien, auch wenn Backup mit dem Password gesperrt ist

Unterstützt: alle Generationen von Apples iPhone, iPad und iPod Touch mit oder ohne Jailbreak; alle Versionen von iOS von den ältesten bis zu den neuesten Versionen; ältere Geräte (bis einschließlich iPhone 4) werden sofort ausgelesen unabhängig vom Sperr- bzw. Jailbreak-Zustand; logische Erfassung ohne Sperrcode mithilfe von Pairing-Datensätzen.

Full version $ 1495
Jetzt kaufen

Erweiterter forensischer Zugang zu iPhone-, iPad-, und iPod-Geräten mit Apple iOS-Betriebssystem

Führen Sie eine komplette forensische Erfassung der Nutzerdaten von iPhone-, iPad- und iPod-Geräten durch. Elcomsoft iOS Forensic Toolkit erlaubt, ein Image vom Dateisystem des Geräts zu erstellen, um geheime Daten zu extrahieren (Codesperren, Passwörter und Codeschlüssel) und die Images des Dateisystems zu entschlüsseln. Der Zugang zum größten Teil dieser Informationen wird sofort gewährt.

Bitte beachten Sie, dass manche Modelle ein Jailbreak erfordern. Siehe Kompatible Geräte und Plattforme für weitere Einzelheiten.

Physischer Zugriff für ältere, 32-Bit and 64-Bit-iOS-Geräte

Die physikalische Erfassung ist die einzige Erfassungsmethode, um vollständige Anwendungsdaten, heruntergeladene Nachrichten und den Standortverlauf zu extrahieren. Die physikalische Erfassung erfolgt in einer festen Zeitspanne. Dadurch wird sicher gestellt, dass der gesamte Inhalt eines 32-GB-Gerätes innerhalb von 40 Minuten oder weniger (abhängig von den im Gerät gespeicherten Informationen) bereit gestellt wird. In vielen Fällen können durch die physikalische Erfassung mehr Daten durch die logische Erfassung zurück geholt werden, da viele Dateien vom Betriebssystem gesperrt sind und während der logischen Erfassung nicht zugänglich sind.

Elcomsoft iOS Forensic Toolkit unterstützt sowohl ältere Hardware (iPhone 4 und älter), "jailbroken" 32-Bit-Geräte (iPhone 4s bis 5c) und "Jailbroken" 64-Bit-Geräte (iPhone 5s bis iPhone X).

Eine proprietäre Erfassungsmethode für 64-Bit-Geräte steht exklusiv im Elcomsoft iOS Forensic Toolkit zur Verfügung. Die physische Erfassung für 64-Bit-Geräte ist zu "jailbroken" iPhones und iPads, die mit 64-Bit SoC ausgestattet sind, voll kompatibel, was eine komplette Zurückführung des Geräte-Dateisystems ermöglicht (im Gegensatz zum bitgenauen Image, das mit dem 32-Bit-Prozess extrahiert wurde). Es werden nur Geräte mit bekanntem oder leerem Passwort unterstützt; der Passwort-Schutz muss vor dem Erwerb in den iOS-Einstellungen entfernt werden.

Logischer Zugriff und Auslesen von Schlüsselbunden

iOS Forensic Toolkit unterstützt den logischen Zugriff, der im Vergleich zum physischen eine einfachere und sichere Zugriffsmethode darstellt. Dabei wird ein iTunes-ähnliches Backup von den Informationen erzeugt, die auf dem Gerät gespeichert sind. Während durch die logische Methode weniger Informationen als durch die physische gewonnen werden, wird Experten empfohlen, ein logisches Backup des Geräts zu erstellen, bevor sie weitere invasive Erfassungstechniken anwenden.

Die logische Erfassung mittels iOS Forensic Toolkit ist die einzige Erfassungsmethode, die den Zugriff auf verschlüsselte Keychain-Elemente ermöglicht. Die logische Erfassung sollte in Kombination mit der physikalischen verwendet werden, um alle möglichen Arten von Beweisen zu erhalten.

Auslesen von Media und gemeinsamen Dateien

iOS Forensic Toolkit bietet eine Möglichkeit an, Multimedia-Dateien wie Camera-Roll-Bilder, Bücher, Sprachmemos und iTunes Media Library schnell zu extrahieren. Anstatt ein lokales Backup zu erstellen, was möglicherweise länger dauernde Operation sein kann, ist das Auslesen von Media-Dateien für alle unterstützten Geräte leicht ausführbar. Das Auslesen von Daten aus gesperrten Geräten ist durch die Anwendung der Lockdown-Datei möglich.

iOS Forensic Toolkit bietet auch die Möglichkeit, auf gespeicherte Dateien vieler Apps zuzugreifen und kritische Daten von 32-Bit- und 64-Bit-Geräten auch ohne Jailbreak zu extrahieren. Während der Zugriff auf App-Daten ohne Jailbreak begrenzt ist, ermöglicht diese neue Technik das Extrahieren lokal gespeicherter
Dokumente von Adobe Reader und Microsoft Office, der MiniKeePass-Passwortdatenbank
und vielem mehr. Die Extraktion erfordert ein nicht gesperrtes Gerät oder einennicht abgelaufenen Sperrdatensatz. Wenn ein Passcode eingesetzt wurde, können manche Daten unzugreifbar bleiben, bis der Passcode deaktiviert ist.

Führen Sie eine physische und logische Erfassung von iPhone-, iPad- und iPod Touch-Geräten durch. Image Device File System, extrahiert Geräte-Inhalte (Passwörter, Schlüssel und geschützte Daten) und entschlüsselt das Dateisystem-Image.

Alle Funktionen und Vorteile

Physischer Zugriff für 32-Bit- und 64-Bit-iOS-Geräte

Jedes iOS-Gerät bis einschließlich dem iPhone 4 kann ohne Beschränkungen komplett physisch ausgelesen werden. Ebenso können alle 32-Bit-Geräte mit einem Jailbreak einschließlich dem iPhone 4s, iPhone 5, iPhone 5c, dem original iPad mini und allen 32-Bit-iPads physisch ausgelesen werden. Bitweiser Zugriff auf 64-Bit-Geräte (iPhone 5s bis iPhone X) besteht mit einem Jailbreak bei deaktivierter Codesperre, indem das komplette Image über das Dateisystem ausgelesen wird.

Es gelten folgende Kompatibilitätsmuster:

  • Alle Geräte: Logischer Zugriff und Auslesen von Media sind für alle Geräte verfügbar, unabhängig davon, ob es sich um eine Jailbreak- oder eine iOS-Version handelt. Unterstützt werden Lockdown-Dateien, um auf Geräte zuzugreifen, die durch Codesperre geschützt sind.
  • Ältere Modelle: Für alle Modelle bis einschließlich dem iPhone 4 kann der Speicher ohne Einschränkungen physisch ausgelesen werden. iOS-Version und Codesperre stellen keine Hindernisse dar.
  • 32-Bit-Geräte: Voraussetzung für den physischen Zugriff auf diese Geräte ist ein Jailbreak. Dann aber können alle Geräte bis zum iPhone 5c bzw. bis zum iPad mini bei allen iOS Versionen physisch ausgelesen werden.
  • 64-Bit-Geräte: Über das Dateisystem kann bei allen 64-Bit-Geräten mit Jailbreak (dies ist bislang nicht für alle Modelle verfügbar) ebenfalls bitweise der Speicher ausgelesen werden. Dies betrifft auch die neuesten Modelle iPhone 5s bis iPhone X, iPad mini 2 bis 4, iPad Air und Air 2.
  • iOS 9.3.4, 9.3.5, iOS 10.x: Logischer Zugriff und Auslesen von Media ohne Jailbreak ist nur für iPhone 7, 7 Plus und diejenigen Geräte mit iOS 10 oder iOS 9 möglich. Das Gerät muss mit einer Codesperre, Touch ID oder Lockdown-Datei entsperrt werden.
  • Kein Jailbreak verfügbar: Logische Erfassung, Auslesen von Media und gemeinsamen Dateien nur für die Geräte, die iOS Version ohne Jailbreak haben. Das Gerät soll mit dem Code oder Touch ID entsperrt werden, oder ein nicht abgelaufener Sperrdatensatz soll verfügbar sein.

Die physische Erfassung von 64-Bit-Geräten entschlüsselt den Schlüsselbund nicht. Um auf geschützte Objekte wie gespeicherte Formulare, Passwörter und Authentifizierungs-Token zuzugreifen, sollte der physikalischen immer eine logische Erfassung über das iOS Forensic Toolkit vorausgehen.

Logischer Zugriff mit Support für Lockdown-Dateien und Auslesen von Schlüsselbunden

Der logische Zugriff ist für alle Geräte verfügbar, unabhängig davon, ob es sich um eine Hardware- oder Jailbreak-Version handelt. Allerdings muss das Gerät mindestens einmal nach dem Kaltstart entriegelt werden, andernfalls kann der Backup-Dienst nicht gestartet werden.

Experten müssen das Gerät mit Codesperre oder Touch ID entsperren oder eine nicht abgelaufene Lockdown-Datei vom Computer des Benutzers benutzen.

Wenn das Gerät konfiguriert ist, um passwortgeschützte Backups zu erzeugen, müssen Experten Elcomsoft Phone Breaker benutzen, um das Kennwort zu ermitteln und die Verschlüsselung zu entfernen. Elcomsoft Phone Breaker ist auch erforderlich, um Keychain-Daten zu lesen. Wenn kein Backup-Passwort gesetzt wurde, wird das Tool das System automatisch mit einem temporären Passwort ausstatten ("123"), um Elemente aus dem Schlüsselbund entschlüsseln zu können (das Passwort wird nach dem Zugriff zurückgesetzt).

Mit einem Datensatz zum Sperren (Kopplung) können Informationen auch nach dem Ausschalten oder Neustart von gesperrten iOS-Geräten extrahiert werden. Die folgende Übersicht gilt für Geräte mit iOS 8 bis iOS 11:

Grundlegende Geräte
informationen
Erweiterte Geräte
informationen
App-Liste Media iTunes-Stil-Backup
Gerät gesperrt, kein Sperrbericht Ja Nein Nein Nein Nein
Gerät wurde nach dem Neustart nicht entsperrt, Sperre ist vorhanden Ja Ja Nein Nein Nein
Gerät nach Neustart entsperrt, Sperre vorhanden Ja Ja Ja Ja Ja
Greifen Sie auf mehr Information zu, als in iPhone-Backups verfügbar ist

ElcomSoft bietet bereits die Möglichkeit, auf die auf iPhone-, iPad- und iPod-Geräten gespeicherten Informationen zuzugreifen, indem mit Apple iTunes durchgeführte Daten-Backups entschlüsselt werden. Das neue Toolkit bietet Zugang zu wesentlich mehr Information im Vergleich zu dem, was in solchen Backups enthalten ist, einschließlich dem Zugang zu Passwörtern und Benutzernamen, E-Mails, Geo-Daten, Anwendungsdaten und mehr.

Es kann auf enorme Mengen hochsensibler Information zugegriffen werden, die in den Smartphones des Benutzers gespeichert sind. Auf zurückliegende Ortsbestimmungsdaten, angeschaute Google-Karten und -Routen, den Browserverlauf, Anrufverzeichnisse, Bilder, E-Mail- und SMS-Mitteilungen, Benutzernamen, Passwörter und fast alles, was in das iPhone eingegeben und vom Gerät im Cache gespeichert wurde, kann mit dem neuen Toolkit zugegriffen werden.

Schlüsselbund-Ermittlung

Elcomsoft iOS Forensic Toolkit kann auf die Geheimnisse des iOS zugreifen, einschließlich der meisten Schlüsselbund-Elemente, und Ermittlern so den Zugang zu hochsensiblen Daten wie Login- und Passwort-Daten für Websites und andere Quellen (inkl. Apple ID) eröffnen.

Bei physischem Zugriff ist das Auslesen von Schlüsselbunden(Keychains) nur für 32-Bit-Geräte möglich. Ein Zugriff auf ein 64-Bit-Gerät gibt den Apple Schlüsselbund nur in verschlüsselter Form aus.

Allerdings liest das logische Erfassungsmodul den Schlüsselbund weiterhin aus. Sie werden in der Lage sein, den Schlüsselbund zu entschlüsseln, wenn kein Passwort für das Backup im iOS-Gerät festgelegt wurde (iOS Forensic Toolkit wird ein temporäres Passwort erstellen, "123") oder wenn Sie das Original-Passwort knacken können, falls es nicht bekannt ist (mit Elcomsoft Phone Breaker).

Codesperren-Ermittlung

Das Wissen um die Original-Codesperre ist niemals erforderlich, kann aber im Falle von iOS 4-7-Geräten nützlich sein (aber für iOS 8 ist die Codesperre erforderlich). Die folgende Übersicht zeigt, wann Sie die Codesperre für einen erfolgreiche Datenerwerb benötigen.

iOS 1.x-3.x: Codesperre nicht erforderlich. Sämtliche Informationen sind zugänglich. Die Original-Codesperre wird sofort ermittelt und angezeigt.

iOS 4.0-7.x: Bestimmte Informationen sind mit Codesperren-abhängigen Schlüsseln geschützt: E-Mail-Mitteilungen, die meisten Keychain-Daten (gespeicherte Login-/Passwort-Daten), bestimmte Anwendungsdaten.

iOS 8.x - 11.x: Die meisten Informationen sind verschlüsselt. Ohne die Codesperre kann man nur wenige Angaben erhalten.

Elcomsoft iOS Forensic Toolkit kann die einfache vierstellige Codesperre von iOS 4+ in 10 bis 40 Minuten durch Brute-Force-Methode ermitteln. Komplexe Codesperren können ermittelt werden, erfordern jedoch mehr Zeit, da die Codesperren-Ermittlung direkt auf dem Gerät erfolgt und nicht “offline” auf schnellerem Equipment ausgeführt werden kann.

Tutorial

Kompatible Geräte und Plattformen

  • Ältere Modelle (bis iPhone 4): eine uneingeschränkte und bedingungslose physische Datenerfassung
  • 32-Bit-Geräte mit Jailbreak: vollständige physische Datenerfassung
  • 64-Bit-Geräte mit Jailbreak: physische Datenerfassung durch das Extrahieren des Dateisystems
  • Kein Jailbreak: nur erweiterte logische Datenerfassung*

Systemanforderungen

Windows

  • Windows Server 2016
  • Windows Server 2012
  • Windows 7 (32 bit)
  • Windows 7 (64 bit)
  • Windows 8
  • Windows 8.1
  • Windows 10

Apple OS X

  • OS X 10.6
  • OS X 10.7
  • OS X 10.8
  • OS X 10.9
  • OS X 10.10
  • OS X 10.11
  • OS X 10.12
  • OS X 10.13

Logische Datenerfassung enthält:

  • Vollständige Informationen über dem Gerät
  • Sicherungskopie im iTunes-Format
  • Liste installierten Apps
  • Media (sogar wenn das Backup mit dem Code gesperrt wurde)
  • Gemeinsame Dateien (sogar wenn das Backup mit dem Code gesperrt wurde)

Logische Erfassung funktioniert auch wenn das Gerät mit einem unbekannten Code gesperrt wurde, falls ein Sperrdatensatz verfügbar ist.

Systemanforderungen

Das iOS Forensic Toolkit für macOS X erfordert einen Intel-basierten Mac-Computer mit macOS ab Version 10.6 (Snow Leopard) bis Version 10.12 (Sierra). Zudem sollte iTunes 10.6 oder höher installiert sein.

Das Toolkit für Microsoft Windows setzt eine Installation von iTunes 10.6 oder höher unter Windows 7, Windows 8 / 8.1 oder Windows 10 voraus.

Andere Versionen von macOS X, Windows und iTunes können auch funktionieren, wurden aber nicht getestet.

Versionshinweise

Elcomsoft iOS Forensic Toolkit v.3.0

20 Februar, 2018

  • added physical acquisition for iOS 10 and iOS 11 devices (with the help of new jailbreaks)
  • added extraction of shared application data (from unlocked devices or with lockdown records)

Alle Programme können über die Systemsteuerung 'Programme und Funktionen' oder über das Programm 'Deinstallieren' im Startmenü deinstalliert werden. Es wird der Standard Windows Installer Service verwendet.

Systemanforderungen

Windows

  • Windows Server 2016
  • Windows Server 2012
  • Windows 7 (32 bit)
  • Windows 7 (64 bit)
  • Windows 8
  • Windows 8.1
  • Windows 10

Apple OS X

  • OS X 10.6
  • OS X 10.7
  • OS X 10.8
  • OS X 10.9
  • OS X 10.10
  • OS X 10.11
  • OS X 10.12
  • OS X 10.13

Logische Datenerfassung enthält:

  • Vollständige Informationen über dem Gerät
  • Sicherungskopie im iTunes-Format
  • Liste installierten Apps
  • Media (sogar wenn das Backup mit dem Code gesperrt wurde)
  • Gemeinsame Dateien (sogar wenn das Backup mit dem Code gesperrt wurde)

Logische Erfassung funktioniert auch wenn das Gerät mit einem unbekannten Code gesperrt wurde, falls ein Sperrdatensatz verfügbar ist.

Systemanforderungen

Das iOS Forensic Toolkit für macOS X erfordert einen Intel-basierten Mac-Computer mit macOS ab Version 10.6 (Snow Leopard) bis Version 10.12 (Sierra). Zudem sollte iTunes 10.6 oder höher installiert sein.

Das Toolkit für Microsoft Windows setzt eine Installation von iTunes 10.6 oder höher unter Windows 7, Windows 8 / 8.1 oder Windows 10 voraus.

Andere Versionen von macOS X, Windows und iTunes können auch funktionieren, wurden aber nicht getestet.

Versionshinweise

Elcomsoft iOS Forensic Toolkit v.3.0

20 Februar, 2018

  • added physical acquisition for iOS 10 and iOS 11 devices (with the help of new jailbreaks)
  • added extraction of shared application data (from unlocked devices or with lockdown records)

Alle Programme können über die Systemsteuerung 'Programme und Funktionen' oder über das Programm 'Deinstallieren' im Startmenü deinstalliert werden. Es wird der Standard Windows Installer Service verwendet.

Elcomsoft iOS Forensic Toolkit kaufen

Full version
$ 1495
Jetzt kaufen