Mit der Version 8.80 führt das Elcomsoft iOS Forensic Toolkit erstmals direkten Zugriff auf die Apple Unified Logs ein – ein wichtiges Feature für die forensische Analyse von iOS-Geräten. Gleichzeitig wurde der erweiterte Dateizugriff verbessert: Dateien lassen sich nun direkter und effizienter extrahieren, ohne Umwege über komplette Images. Das Update bringt zudem spürbare Leistungsgewinne beim Auslesen von Absturzprotokollen und Mediendateien.

Apple Unified Logs: Ein oft übersehener Datenschatz

Version 8.80 führt den direkten Zugriff auf Apple Unified Logs ein – einer wichtigen Quelle für eine strukturierte Sammlung von System- und Benutzeraktivitäten, die auf iOS-, watchOS-, macOS- und tvOS-Geräten kontinuierlich protokolliert werden. Im Gegensatz zu Sysdiagnose-Protokollen, die Momentaufnahmen des Systemzustands zu einem bestimmten Zeitpunkt darstellen, bieten Unified Logs eine fortlaufende Aufzeichnung von Ereignissen über einen längeren Zeitraum. Dies ermöglicht eine detaillierte Rekonstruktion von Benutzerinteraktionen und Systemereignissen, die für forensische Untersuchungen von entscheidender Bedeutung sein können.

Frühere Versionen des iOS Forensic Toolkits konnten lediglich auf die Log-Daten zugreifen, die auch mit den Sysdiagnose-Daten extrahiert wurden, in der Regel also nur die letzten 24 Stunden. Die Unterstützung für die Extraktion von Apple Unified Logs erweitert nun die Möglichkeiten der digitalen Forensik erheblich, indem der Einblick in die Systemaktivitäten über einen längeren Zeitraum ermöglicht wird.

Mehr Details, Hintergrundinformationen und praktische Hinweise zur Analyse von Sysdiagnose- und Unified Logs finden Sie im Blogartikel von Elcomsoft: Extracting and Analyzing Apple Sysdiagnose Logs (auf Englisch).

Sysdiagnose-Protokolle und Mediadaten jetzt deutlich schneller auslesen mit Multithreading

Die Geschwindigkeit beim Auslesen von Sysdiagnose-Protokollen und Mediendateien über den erweiterten Dateizugriff wurde in Version 8.80 deutlich gesteigert. Durch Low-Level-Optimierungen arbeitet die Datenextraktion auf Dateisystemebene nun um ein Vielfaches schneller als in früheren Versionen.

Weitere Verbesserungen

Die Erfassungsmechanismen für ältere 32-Bit-Geräte wurden optimiert, sodass nun auch Edge-Case-Kombinationen von Modell und iOS-Version unterstützt werden. Zusätzlich erweitert Version 8.80 die Kompatibilität für mit checkm8 unterstützte Geräte auf die neuesten Versionen von iOS 15 (15.8.5) und iOS 16 (16.7.12).

iOS Forensic Toolkit 8.80 Versionshinweise

• Direkter Dateizugriff: Apple Unified Logs können nun extrahiert werden.
• Schnellerer Dateizugriff: Beschleunigte Erfassung von Mediendateien und Diagnose-Protokollen.
• Neu: ein freies Windows-Tool zum Auslesen extrahierter HFS-Images
• Extraktionsagent: Stabile Installation und zuverlässiger Betrieb des Agenten.
• Für ältere Hardware: Mehr Unterstützung für seltene Modelle und Modell-/iOS-Kombinationen.
• Für 32-Bit-Geräte: Verbesserungen der Benutzerfreundlichkeit von Perfect Acquisition für 32-Bit-Geräte
• checkm8: Unterstützung für die neuesten Versionen von iOS 15 (15.8.5) und iOS 16 (16.7.12)