Elcomsoft iOS Forensic Toolkit

Erhalten Sie physischen und logischen Zugriff auf Daten in iPhones, iPads und iPod Touch-Geräten. Erstellen sie Images vom Dateisystem eines Geräts, extrahieren Sie geheime Daten (Passwörter, Verschlüsselungsschlüssel und geschützte Daten) und entschlüsseln Sie Images vom Dateisystem.

  • Physische Erfassung von 64-Bit-Geräten mit iOS mithilfe eines Jailbreaks
  • Logische Erfassung extrahiert Sicherungen, Absturzprotokolle, Medien und freigegebene Dateien
  • Entsperrung von iOS-Geräten mithilfe von Pairing-Datensätzen (Lockdown-Dateien)
  • Extrahiert und entschlüsselt geschützte Schlüsselbundelemente
  • Echtzeit-Dateisystem-Akquisition
  • Deaktiviert automatisch die Bildschirmsperre für eine reibungslose, ununterbrochene Erfassung

Unterstützt: alle Generationen von Apples iPhone, iPad und iPod Touch mit oder ohne Jailbreak; alle Versionen von iOS von 7 bis zu 11; logische Erfassung ohne Sperrcode mithilfe von Pairing-Datensätzen.

Full version $ 1495
Jetzt kaufen

Forensischer Zugang zu iPhone-, iPad-, und iPod-Geräten mit Apple iOS-Betriebssystem

Führen Sie eine komplette forensische Erfassung der Nutzerdaten von iPhone-, iPad- und iPod-Geräten durch. Elcomsoft iOS Forensic Toolkit erlaubt, ein Image vom Dateisystem des Geräts zu erstellen, um geheime Daten zu extrahieren (Codesperren, Passwörter und Codeschlüssel) und über Lockdown-Datensätze auf gesperrte Geräte zugreifen.

Siehe Kompatible Geräte und Plattforme für weitere Einzelheiten.

Physische Erfassung von iOS-Geräten

Die physische Erfassung ist die einzige Erfassungsmethode, um vollständige Anwendungsdaten, geschützte Schlüsselbundelemente, heruntergeladene Nachrichten und den Standortverlauf zu extrahieren. Die physische Erfassung liefert mehr Informationen in Vergleich zur logischen Erfassung aufgrund des direkten Low-Level-Zugriffs auf Daten.

Elcomsoft iOS Forensic Toolkit unterstützt "Jailbroken" 64-Bit-Geräte (iPhone 5s bis iPhone X) mit den meisten Versionen von iOS 7 bis 11.

Logischer Zugriff

iOS Forensic Toolkit unterstützt den logischen Zugriff, der im Vergleich zum physischen eine einfachere und sichere Zugriffsmethode darstellt. Die logische Erfassung erstellt eine standardmäßige iTunes-ähnliche Sicherung der auf dem Gerät gespeicherten Informationen, ruft Medien und freigegebene Dateien ab und extrahiert System-Crash-Logs Während durch die logische Methode weniger Informationen als durch die physische gewonnen werden, wird Experten empfohlen, ein logisches Backup des Geräts zu erstellen, bevor sie weitere invasive Erfassungstechniken anwenden.

Wir empfehlen immer, die logische Erfassung in Kombination mit physischer Erfassung zu verwenden, um alle möglichen Arten von Beweisen sicher zu erhalten.

Media und gemeinsame Dateien

Extrahieren Sie schnell Mediendateien wie Camera Roll, Bücher, Sprachaufnahmen und iTunes Mediathek. Im Gegensatz zum Erstellen einer lokalen Sicherung, bei der es sich möglicherweise um eine langwierige Operation handeln kann, funktioniert die Medienextraktion auf allen unterstützten Geräten schnell. Das Auslesen von Daten aus gesperrten Geräten ist durch die Anwendung der Lockdown-Datei möglich.

iOS Forensic Toolkit bietet auch die Möglichkeit, auf gespeicherte Dateien vieler Apps zuzugreifen und kritische Daten auch ohne Jailbreak zu extrahieren. Extrahieren Sie Dokumente von Adobe Reader und Microsoft Office, der MiniKeePass-Passwortdatenbank
und vielem mehr. Die Extraktion erfordert ein nicht gesperrtes Gerät oder einennicht abgelaufenen Sperrdatensatz.

Führen Sie eine physische und logische Erfassung von iPhone-, iPad- und iPod Touch-Geräten durch. Image Device File System, extrahiert Geräte-Inhalte (Passwörter, Schlüssel und geschützte Daten) und entschlüsselt das Dateisystem-Image.

Alle Funktionen und Vorteile

Unterstützte Geräte und Erfassungsmethoden

iOS Forensic Toolkit unterstützt die physische Erfassung von Jailbroken-Geräten von iPhone 5 bis iPhone X. Logische Erfassung ist für Geräte ohne Jailbreak verfügbar.

Es gelten folgende Kompatibilitätsmuster:

  • Mit Jailbreak: Über das Dateisystem kann bei allen Geräten mit Jailbreak (dies ist bislang nicht für alle Modelle verfügbar) ebenfalls bitweise der Speicher ausgelesen werden. Dies betrifft auch die neuesten Modelle iPhone 5s bis iPhone X, iPad mini 2 bis 4, iPad Air, Air 2, Pro, Apple TV 4, 4K.
  • Kein Jailbreak verfügbar: Logische Erfassung, Auslesen von Media und gemeinsamen Dateien nur für die Geräte, die iOS Version ohne Jailbreak haben. Das Gerät soll mit dem Code oder Touch ID entsperrt werden, oder ein nicht abgelaufener Sperrdatensatz soll verfügbar sein.
Logischer Zugriff mit Support für Lockdown-Dateien

Der logische Zugriff ist für alle Geräte verfügbar, unabhängig davon, ob es sich um eine Hardware- oder Jailbreak-Version handelt. Allerdings muss das Gerät mindestens einmal nach dem Kaltstart entriegelt werden, andernfalls kann der Backup-Dienst nicht gestartet werden.

Experten müssen das Gerät mit Codesperre oder Touch ID entsperren oder eine nicht abgelaufene Lockdown-Datei vom Computer des Benutzers benutzen.

Wenn das Gerät konfiguriert ist, um passwortgeschützte Backups zu erzeugen, müssen Experten Elcomsoft Phone Breaker benutzen, um das Kennwort zu ermitteln und die Verschlüsselung zu entfernen. Elcomsoft Phone Breaker ist auch erforderlich, um Keychain-Daten zu lesen. Wenn kein Backup-Passwort gesetzt wurde, wird das Tool das System automatisch mit einem temporären Passwort ausstatten ("123"), um Elemente aus dem Schlüsselbund entschlüsseln zu können (das Passwort wird nach dem Zugriff zurückgesetzt).

Mit einem Datensatz zum Sperren (Kopplung) können Informationen auch nach dem Ausschalten oder Neustart von gesperrten iOS-Geräten extrahiert werden. Die folgende Übersicht gilt für Geräte mit iOS 8 bis iOS 11:

Grundlegende Geräte
informationen
Erweiterte Geräte
informationen
App-Liste Media iTunes-Stil-Backup
Gerät gesperrt, kein Sperrbericht Ja Nein Nein Nein Nein
Gerät wurde nach dem Neustart nicht entsperrt, Sperre ist vorhanden Ja Ja Nein Nein Nein
Gerät nach Neustart entsperrt, Sperre vorhanden Ja Ja Ja Ja Ja
Schlüsselbund-Extraktion

Elcomsoft iOS Forensic Toolkit kann Keychain-Elemente extrahieren, einschließlich solcher, die mit dem ThisDeviceOnly-Attribut geschützt sind, wodurch Ermittler Zugriff auf hochsensible Daten wie Login- / Kennwortinformationen zu Websites und anderen Ressourcen (und in vielen Fällen zur Apple-ID) erhalten.

Das Gerät muss während des gesamten Schlüsselbundakquisitionsprozesses entsperrt bleiben. iOS Forensic Toolkit implementiert ein Tool zum Deaktivieren der automatischen Bildschirmsperre.

Tutorial

Kompatible Geräte und Plattformen

  • 64-Bit-Geräte mit Jailbreak: physische Datenerfassung (Extrahieren von Dateisystem, Entschlüsseln von Schlüsselbund)
  • Kein Jailbreak: nur erweiterte logische Datenerfassung*

Systemanforderungen

Windows

  • Windows Server 2016
  • Windows Server 2012
  • Windows 7 (32 bit)
  • Windows 7 (64 bit)
  • Windows 8
  • Windows 8.1
  • Windows 10

Apple OS X

  • OS X 10.6
  • OS X 10.7
  • OS X 10.8
  • OS X 10.9
  • OS X 10.10
  • OS X 10.11
  • OS X 10.12
  • OS X 10.13

Logische Datenerfassung enthält:

  • Vollständige Informationen über dem Gerät
  • Sicherungskopie im iTunes-Format (enthält viele Schlüsselbundartikel)
  • Liste installierten Apps
  • Media (sogar wenn das Backup mit dem Code gesperrt wurde)
  • Gemeinsame Dateien (sogar wenn das Backup mit dem Code gesperrt wurde)

Logische Erfassung funktioniert auch wenn das Gerät mit einem unbekannten Code gesperrt wurde, falls ein Sperrdatensatz verfügbar ist.

Systemanforderungen

Das iOS Forensic Toolkit für macOS X erfordert einen Intel-basierten Mac-Computer mit macOS ab Version 10.6 (Snow Leopard) bis Version 10.12 (Sierra). Zudem sollte iTunes 10.6 oder höher installiert sein.

Das Toolkit für Microsoft Windows setzt eine Installation von iTunes 10.6 oder höher unter Windows 7, Windows 8 / 8.1 oder Windows 10 voraus.

Andere Versionen von macOS X, Windows und iTunes können auch funktionieren, wurden aber nicht getestet.

Versionshinweise

Elcomsoft iOS Forensic Toolkit v.4.0

20 Juni, 2018

  • support for legacy (32-bit) devices has been deprecated
  • always show the device connected (name, model, iOS version, serial and ID)
  • extract and decrypt device keychain
  • added extraction of device crash log
  • preventing the device from locking during acquisition

Alle Programme können über die Systemsteuerung 'Programme und Funktionen' oder über das Programm 'Deinstallieren' im Startmenü deinstalliert werden. Es wird der Standard Windows Installer Service verwendet.

Systemanforderungen

Windows

  • Windows Server 2016
  • Windows Server 2012
  • Windows 7 (32 bit)
  • Windows 7 (64 bit)
  • Windows 8
  • Windows 8.1
  • Windows 10

Apple OS X

  • OS X 10.6
  • OS X 10.7
  • OS X 10.8
  • OS X 10.9
  • OS X 10.10
  • OS X 10.11
  • OS X 10.12
  • OS X 10.13

Logische Datenerfassung enthält:

  • Vollständige Informationen über dem Gerät
  • Sicherungskopie im iTunes-Format (enthält viele Schlüsselbundartikel)
  • Liste installierten Apps
  • Media (sogar wenn das Backup mit dem Code gesperrt wurde)
  • Gemeinsame Dateien (sogar wenn das Backup mit dem Code gesperrt wurde)

Logische Erfassung funktioniert auch wenn das Gerät mit einem unbekannten Code gesperrt wurde, falls ein Sperrdatensatz verfügbar ist.

Systemanforderungen

Das iOS Forensic Toolkit für macOS X erfordert einen Intel-basierten Mac-Computer mit macOS ab Version 10.6 (Snow Leopard) bis Version 10.12 (Sierra). Zudem sollte iTunes 10.6 oder höher installiert sein.

Das Toolkit für Microsoft Windows setzt eine Installation von iTunes 10.6 oder höher unter Windows 7, Windows 8 / 8.1 oder Windows 10 voraus.

Andere Versionen von macOS X, Windows und iTunes können auch funktionieren, wurden aber nicht getestet.

Versionshinweise

Elcomsoft iOS Forensic Toolkit v.4.0

20 Juni, 2018

  • support for legacy (32-bit) devices has been deprecated
  • always show the device connected (name, model, iOS version, serial and ID)
  • extract and decrypt device keychain
  • added extraction of device crash log
  • preventing the device from locking during acquisition

Alle Programme können über die Systemsteuerung 'Programme und Funktionen' oder über das Programm 'Deinstallieren' im Startmenü deinstalliert werden. Es wird der Standard Windows Installer Service verwendet.

Elcomsoft iOS Forensic Toolkit kaufen

Full version
$ 1495
Jetzt kaufen