天津鸿萌科贸发展有限公司是 ElcomSoft 系列取证软件的授权代理商。

Elcomsoft iOS Forensics Toolkit 功能简介

Elcomsoft iOS Forensics Toolkit 软件工具包适用于取证工作，对 iPhone、iPad 和 iPod Touch 设备执行完整文件系统和逻辑数据采集。对设备文件系统制作镜像，提取设备机密（密码、加密密钥和受保护数据）并解密文件系统镜像。

• 完整的文件系统提取和钥匙串解密
• 逻辑获取提取备份、崩溃日志、媒体和共享文件
• 旧版设备的密码解锁和物理获取
• 提取并解密受保护的钥匙串项目
• 通过修改后的引导加载程序，可提取特定 iPhone 和 iPad 型号数据，满足取证要求
• 自动禁用屏幕锁定以实现平稳、不间断的采集

支持：各版本 iPhone、iPad、iPad Pro 和 iPod Touch、第一代 HomePod；Apple Watch、Apple TV 4 和 4K；从 iOS 3 到 iOS 17 的所有 iOS 版本

更多内容，请参考这篇文章介绍。

新版本支持 Windows 中加载 HFS 镜像

ElcomSoft iOS Forensic Toolkit 的最新版本增加了将旧版 Apple 设备的 HFS 磁盘镜像作为驱动器符挂载到 Windows 系统的功能。这项在 Windows 上挂载 HFS 镜像的新功能使数据取证及恢复专家们能够在基于 Windows 的计算机上高效处理和分析从旧版 Apple 设备中提取的数字证据。

为什么需要 HFS 镜像？

在对采用 32 位架构的旧版 Apple 设备进行低级提取时，iOS Forensics Toolkit 采用了一种称为完美 HFS 获取的取证流程。在此过程中（仅在使用 Mac 或 Linux 版本的 iOS 取证工具包时可用），该工具会生成数据分区的完整、位精确的镜像。可以使用在此过程中提取的密钥解密该镜像。

这些旧设备使用 HFS 作为文件系统。在 macOS 中可以无缝加载 HFS 镜像，但 Windows 不支持此类磁盘镜像，甚至无法将 HFS 识别为文件系统。将 HFS 支持集成到 Windows 需要用户自行实现融合文件系统。ElcomSoft 在 iOS Forensics Toolkit 中合法综合了可以在 Windows 上安装文件系统的 WinFsp 资源库，实现了在 Windows 中加载 HFS 镜像的功能。

在 Windows 上安装 DMG 文件有几个目的。首先，许多常用的取证工具与 DMG 文件不兼容，但可以轻松使用提取的文件夹。这使得手动探索和分析 DMG 文件的内容、检查提取文件夹中的各种数据库和设置变得更加简单。

符合取证要求的只读加载

iOS Forensic Toolkit 以只读模式挂载 HFS 镜像，这是唯一一种可靠的取证模式。虽然只读是最安全的模式，但在使用某些工具（例如某些 SQLite 编辑器）检查文件系统中的 SQLite 数据库时，您可能会遇到一些问题。其中一些工具将无法打开 SQLite 数据库，因为它们会尝试与主数据库一起创建临时文件，并因只读模式而失败。如果您需要使用此类工具，我们强烈建议您将挂载的磁盘镜像中的文件复制到您的计算机并在那里打开它们；否则，不可避免地会修改原始磁盘镜像，从而意外篡改证据。

操作过程

使用 iOS Forensic Toolkit 安装 HFS 镜像时，有两个选项。第一个选项安装原始加密镜像；第二个选项安装已解密镜像。

要挂载原始加密的磁盘镜像，请使用以下命令：

eift_cmd hfstool --mount -i data.dmg -k keys.plist

请注意，除非从 DMG 文件和密钥所在的同一文件夹运行命令，否则需要提供 DMG 文件和密钥的完整路径。

要挂载已解密的镜像，请使用以下命令：

eift_cmd hfstool --mount -i data_dec.dmg

执行两个命令中的任何一个，就会打开一个控制台窗口：

使用已安装的镜像时请勿关闭此窗口。关闭 iOS Forensic Toolkit 将自动卸载磁盘镜像。

文件系统将被安装为第一个可用的驱动器符：

此时，可以手动检查文件系统的内容。

兼容性

iOS Forensic Toolkit 的当前版本支持以下设备/操作系统版本（请注意：下表列出的任何设备都不支持 HFS 镜像/加载）。

结论

iOS Forensics Toolkit 的最新版本让专家们可以在 Windows 电脑上轻松查看从旧版 Apple 设备中提取的磁盘镜像。这一点很重要，因为旧版 Apple 设备使用 HFS 作为文件系统，而 Windows 本身并不理解这种文件系统。现在，通过此更新，专家们可以挂载这些磁盘镜像而不会意外更改它们，从而确保证据完好无损。该新版本是数字取证的一大进步，使在 Windows 上调查旧版 Apple 设备变得更简单、更可靠。