Elcomsoft iOS Forensic Toolkit是一款可以幫助您采集信息的軟件，主要針對iOS設(shè)備采集，大家都知道iOS是國外的系統(tǒng)，使用這個(gè)系統(tǒng)的設(shè)備是非常多的，如果您需要對該設(shè)備進(jìn)行物理采集以及邏輯采集，可以通過這款同樣是國外開發(fā)的Elcomsoft iOS Forensic Toolkit軟件采集，提供更好的采集方式，通過命令行的方式獲取設(shè)備數(shù)據(jù)，內(nèi)置幫助功能，對不知道的內(nèi)容可以點(diǎn)擊幫助了解軟件的菜單功能以及復(fù)制故障信息的功能！

軟件功能

　　物理獲取: 與邏輯或云采集相比提取更多信息

　　邏輯獲取: 提取 iTunes 樣式的備份, 包括鑰匙串

　　邏輯獲取: 提取崩潰日志、共享和媒體文件

　　邏輯獲取: 使用配對記錄支持鎖定的設(shè)備

　　甚至從鎖定的設(shè)備中提取設(shè)備信息

　　提取和解密鑰匙串項(xiàng)目

　　全面負(fù)責(zé): 調(diào)查的每一個(gè)步驟記錄和記錄

軟件特色

　　對運(yùn)行AppleiOS的iPhone/iPad/iPod設(shè)備的增強(qiáng)取證訪問對

　　存儲在iPhone/iPad/iPod設(shè)備中的用戶數(shù)據(jù)進(jìn)行完整的取證。ElcomsoftiOSForensicToolkit允許成像設(shè)備的文件系統(tǒng),提取設(shè)備機(jī)密（密碼,密碼和加密密鑰）并解密文件系統(tǒng)映像。即 刻提供對大多數(shù)信息的訪問。請注意,某些型號需要越獄。有關(guān)詳細(xì)信息,請參見兼容的設(shè)備和平臺。

　　借助鑰匙串提取進(jìn)行邏輯采集

　　iOSForensicToolkit支持邏輯采集,這是一種比物理采集更簡單,更安全的采集方法。邏輯獲取可為設(shè)備中存儲的信息生成標(biāo)準(zhǔn)的iTunes風(fēng)格的備份。雖然邏輯采集返回的信息少于物理信息,但建議專家在嘗試更具侵入性的采集技術(shù)之前創(chuàng)建設(shè)備的邏輯備份。

　　使用iOSForensicToolkit進(jìn)行邏輯采集是唯一允許訪問加密的鑰匙串項(xiàng)目的采集方法。邏輯獲取應(yīng)與物理獲取結(jié)合使用,以提取所有可能的證據(jù)類型。

　　iOS設(shè)備的

　　物理采集物理采集是提取完整應(yīng)用程序數(shù)據(jù),受保護(hù)的鑰匙串項(xiàng),下載的消息和位置歷史記錄的唯一采集方法。由于直接低級別訪問數(shù)據(jù),與邏輯采集相比,物理采集返回更多信息。ElcomsoftiOSForensicToolkit支持運(yùn)行大多數(shù)版本的iOS7至12的越獄64位設(shè)備（iPhone5s和更高版本）。

　　媒體和共享文件提取

　　iOSForensicToolkit提供了快速提取媒體文件的功能,例如相機(jī)膠卷,書籍,錄音和iTunes媒體庫。與創(chuàng)建可能需要很長時(shí)間的本地備份不同,媒體提取可以在所有受支持的設(shè)備上快速輕松地進(jìn)行。通過使用配對記錄（鎖定文件）可以從鎖定的設(shè)備中提取數(shù)據(jù)。

　　除媒體文件外,iOSForensicToolkit還可提取多個(gè)應(yīng)用程序的存儲文件,無需越獄即可從32位和64位設(shè)備提取關(guān)鍵證據(jù)。盡管在不越獄的情況下訪問應(yīng)用程序數(shù)據(jù)受到了限制,但這項(xiàng)新技術(shù)允許提取AdobeReader和MicrosoftOffice本地存儲的文檔,MiniKeePass密碼數(shù)據(jù)庫等。提取需要未鎖定的設(shè)備或未到期的鎖定記錄。如果使用鎖定記錄,則除非刪除鎖定屏幕密碼,否則某些文件可能無法訪問。

安裝方法

　　1、設(shè)置軟件的安裝地址C:Program Files (x86)ElcomSoftiOS Forensic Toolkit

　　2、勾選協(xié)議內(nèi)容，點(diǎn)擊安裝

　　3、提示安裝進(jìn)度，請稍后

　　4、提示安裝完畢，點(diǎn)擊finish

　　使用方法

　　1、在安裝的地址找到Toolkit.cmd軟件打開，進(jìn)入測試界面

　　2、這里是病毒提示，軟件沒有病毒，將殺毒軟件關(guān)閉

　　3、測試功能，iOS設(shè)備連接到軟件獲取設(shè)備數(shù)據(jù)

　　4、提示軟件的啟動界面，這里是版本以及程序的說明

　　5、這款軟件還是比較復(fù)雜的，建議您查看幫助https://cn.elcomsoft.com/eift.html

　　6、使用終端(OSX)或命令行(Windows)?；谶x擇的文本界面可用來簡化您將啟動iOS

　　7、菜單被分成兩個(gè)不同的部分:邏輯和物理。如果與計(jì)算機(jī)建立了信任關(guān)系，或者可以建立信任關(guān)系，或者可以從用戶計(jì)算機(jī)訪問未過期的鎖定文件，則可以在非越獄設(shè)備上執(zhí)行邏輯獲取

主要優(yōu)勢

　　獲取設(shè)備信息、備份或邏輯溫泉。

　　-拷貝媒體文件、復(fù)制共享文件、復(fù)制故障日志

　　物理獲取64位、配置 iOS 設(shè)備、Installina 越獄

　　安裝 OpenSSH、禁用屏幕鎖定

　　獲取鑰匙串、獲取用戶文件..分析包

注意事項(xiàng)

　　復(fù)制崩潰日志

　　崩潰日志是證據(jù)的重要組成部分，這些證據(jù)不包括在本地備份中，但是可以通過邏輯獲取方法從設(shè)備中提取。為了提取崩潰日志，使用“L”:復(fù)制崩潰日志命令

　　已安裝的應(yīng)用程序列表(PowerLog、安全性、OnDemand)。

　　ITunes用戶名(itunesstored 2 log，并不總是帶有值)

　　電子郵件附件的文件名(MobileMail日志)

　　Wi-Fi網(wǎng)絡(luò)及最新連接歷史(Wi-Fi日志)