elcomsoft ios forensic toolkit破解版是一款iOS设备数据提取功能，如果你需要彻底提取手机上的数据作为证据就可以通过这款软件快速连接到iPhone设备，从而开始获取设备基础信息，获取设备文件信息，一键执行数据提取和数据备份，保证将iOS设备的数据全部迁移到电脑，让用户可以完全提取iOS设备的数据作为证据，软件提供命令行的界面执行，将主程序安装就可以在安装地址下以管理员身份启动ToolKit.cmd打开命令操作界面，连接iOS设备就可以输入指定的命令开始提取数据！

软件功能

　　一、逻辑采集

　　I设备信息-获取基本设备信息

　　R RECOVERY INFO-获取恢复/DFU模式下设备的信息

　　B BACKUP-创建设备的itunes风格备份

　　M MEDIA-从设备复制媒体文件

　　S SHARED-复制已安装应用程序的共享文件

　　L LOGS-复制崩溃日志

　　二、物理采集（针对越狱设备）

　　D DISABLE LOCK（禁用锁定）-禁用屏幕锁定（直到重新启动）

　　K KEYCHAIN-解密设备密钥链

　　F文件系统-获取设备文件系统（作为TAR存档）

　　三、Acquisition代理（兼容性有限）

　　1安装-在设备上安装采集代理

　　2钥匙链-获取设备钥匙链

　　3文件系统-获取设备文件系统（作为TAR存档）

　　4 UNINSTALL-卸载设备上的采集代理

软件特征

　　1、对存储在iPhone/iPad/iPod设备中的用户数据进行完整的取证。

　　elcomsoft ios forensic toolkit允许成像设备的文件系统,提取设备机密（密码,密码和加密密钥）并解密文件系统映像。即刻提供对大多数信息的访问。请注意,某些型号需要越狱。

　　2、借助钥匙串提取进行逻辑采集

　　ios forensic toolkit支持逻辑采集,这是一种比物理采集更简单,更安全的采集方法。逻辑获取可为设备中存储的信息生成标准的iTunes风格的备份。虽然逻辑采集返回的信息少于物理信息,但建议专家在尝试更具侵入性的采集技术之前创建设备的逻辑备份。

　　使用ios forensic toolkit进行逻辑采集是唯一允许访问加密的钥匙串项目的采集方法。逻辑获取应与物理获取结合使用,以提取所有可能的证据类型。

　　3、iOS设备的物理采集

　　物理采集是提取完整应用程序数据,受保护的钥匙串项,下载的消息和位置历史记录的唯一采集方法。由于直接低级别访问数据,与逻辑采集相比,物理采集返回更多信息。elcomsoft ios forensic toolkit支持运行大多数版本的iOS7至12的越狱64位设备（iPhone5s和更高版本）。

　　4、媒体和共享文件提取

　　elcomsoft ios forensic toolkit提供了快速提取媒体文件的功能,例如相机胶卷,书籍,录音和iTunes媒体库。与创建可能需要很长时间的本地备份不同,媒体提取可以在所有受支持的设备上快速轻松地进行。通过使用配对记录（锁定文件）可以从锁定的设备中提取数据。

　　除媒体文件外，elcomsoft ios forensic toolkit还可提取多个应用程序的存储文件,无需越狱即可从32位和64位设备提取关键证据。尽管在不越狱的情况下访问应用程序数据受到了限制,但这项新技术允许提取AdobeReader和Microsoftoffice本地存储的文档,MiniKeePass密码数据库等。提取需要未锁定的设备或未到期的锁定记录。如果使用锁定记录,则除非删除锁定屏幕密码,否则某些文件可能无法访问。

使用说明

　　1、启动iOS Forensic Toolkit.msi就可以进入到安装引导界面，点击下一步

　　2、软件的安装地址是C:Program Files (x86)ElcomSoftiOS Forensic Toolkit

　　3、从程序目录中的ToolKit.cmd以管理员身份运行。您应该得到“许可证有效，此软件没有任何限制信息”。不要安装任何更新。

　　4、[信息]注册码：

　　[信息]注册码对此版本有效。

　　[信息]此许可证没有时间限制。

　　按“Enter”继续

　　设备上的SSH连接使用哪个端口？(22):22

　　使用哪个密码连接到设备？（默认为“alpine”）：alpine

　　5、软件界面如图所示，可以在软件上查看命令内容，输入对应的命令点击回车就可以进入采集界面

　　6、如图所示，小编的电脑没有连接iPhone所以就无法使用，提示：

　　设备已连接：无

　　设备未与本地计算机配对。

　　您可以提供配对记录文件的路径。

　　否则，只有有限数量的信息可用。

　　配对记录文件：

官方教程

　　“I”–获取设备信息

　　此命令将提取有关iOS设备的信息。信息将保存到文件ideviceinfo.plist（XML）中。

　　macOS用户：文件将保存在主文件夹（Finder|Go|Home）中。

　　该命令与所有iOS设备兼容，无论硬件版本、iOS版本、锁定和越狱状态如何。然而，当查询未锁定或越狱的设备时，您将能够获得更详细的数据。

　　没有可用越狱的iOS设备对可以提取的内容施加了严格的限制。与获取完全锁定的设备相比，解锁设备（使用密码或使用Touch ID）或使用锁定记录（配对记录）将打开获取更多信息的大门。

　　如果您能够使用Touch ID或密码解锁iOS设备，该工具将提取更多详细信息；对于iOS 11+设备，您可能必须使用密码。或者，您可以使用iTunes配对记录（“锁定”文件）。

　　注意：锁定记录可能会过期，具体取决于设备运行的iOS版本。早于iOS 11的iOS版本似乎没有设置锁定文件的有效期，而在2013年11月12日的iOS版本中，锁定文件通常在30天后过期。此外，如果设备在重新启动后至少一次未解锁，则即使是有效的锁定文件也无法使用。更改密码不会使旧配对记录失效。

　　即使没有锁定记录，“Info”命令也会返回有意义的结果，但生成的文件将包含非常有限的数据集，包括设备名称、型号、iOS版本、Wi-Fi适配器的Mac地址等。

　　如果提供了有效且未过期的锁定记录，则会提供更多数据，包括电话号码、蓝牙适配器的Mac地址、ICCI/IMEI/IMSI、设备时区，以及是否设置iTunes备份密码以及是否启用icloud备份的标志；上次创建iTunes和iCloud备份的日期/时间；设备上的总空间和可用空间；设备时区和区域设置信息。

　　如果设备在上次重新启动后至少解锁一次（首次解锁后，AFU），您还可以使用相同的锁定文件获取设备备份（见下文）。此外，将创建一对文件（applications.txt和

　　applications.xml）.applications.txt包含设备上安装的所有应用程序的列表，包括版本号。applications.xml包含每个应用程序的更多详细信息。

　　“R”–在恢复或DFU模式下获取设备信息

　　“R”命令返回有关处于DFU（设备固件升级）或恢复模式的设备的有限数据集。连接设备并选择“R”；将显示所有可用信息，包括型号名称、ECID、序列号、IMEI和UDID。请注意，根据设备型号和模式，某些数据可能不可用：

　　逻辑采集

　　iOS Forensic Toolkit提供了一个选项，通过创建iTunes风格的备份以及一些附加数据，来执行iOS设备的逻辑获取。强烈建议在继续物理采集之前创建设备备份。设备备份可用于逻辑采集。

　　“B”-捕获备份

　　该工具需要安装Apple iTunes才能进行备份，或者至少需要“Apple Mobile Device Support”（iTunes软件包中的驱动程序集）。如果正在获取的iOS设备被配置为无密码备份，则该工具将在获取前自动在iTunes中设置临时备份密码。临时备份密码为“123”；为了查看信息，您必须在访问备份时输入它。

　　逻辑采集适用于运行iOS 13（包括iOS 13）所有版本的所有设备，无论硬件版本和越狱状态如何。但是，设备必须在重新启动或通电后至少解锁一次。

　　注意：为了使用逻辑采集，请确保iOS设备在冷启动后至少解锁一次。否则，本地备份服务（com.apple.mobilebackup2）将不会启动。

　　要创建备份，请使用主菜单中的“B”命令。

　　注意：为了解密受密码保护的备份，必须设置非空备份密码。如果在逻辑获取时，iOS法医工具包发现备份密码为空，它将临时将备份密码设置为“123”（获取后备份密码将重置为原始状态）。如果备份密码已设置且未知，则必须执行攻击（暴力、字典或组合）才能恢复密码。

　　iOS 13提示输入设备屏幕锁定密码以更改备份密码。如果您在使用锁定记录获取数据时没有屏幕锁定密码，则只能“按原样”创建备份，根据设备设置，可以使用密码也可以不使用密码。

　　通过分析受密码保护的Apple备份，可以访问钥匙链中的项目。在没有密码的情况下创建的脱机备份大部分是未加密的；然而，密钥链是用硬件密钥加密的，这意味着没有密钥链数据可用。

　　必须先解锁iOS设备，然后才能生成备份。您可以使用Touch ID、密码或iTunes配对记录（“锁定”文件）解锁设备。

　　重要提示：从iOS 8开始，只有在启动后至少使用密码解锁iOS设备一次（首次解锁后，AFU），才能获得备份。出于这个原因，如果你发现iPhone已打开，但已锁定，请不要将其关闭。相反，将其放在法拉第袋中，将其与无线网络隔离，并且不要通过将其连接到充电器而使其断电或完全放电（在将设备转移到实验室之前，法拉第袋中的便携式电源组非常有用）。这将给您时间搜索用户的计算机以查找锁定记录。

　　如果您不知道密码，并且无法使用Touch ID或Face ID解锁设备，则进行数据备份的唯一选项将是尝试使用锁定文件解锁。锁定文件是Apple iTunes在与给定iOS设备同步的计算机上创建的配对记录。创建锁定文件是为了让用户在每次与iTunes同步时都不必手动解锁iOS设备。

　　您必须从用户的计算机中提取正确的锁定记录，以便将其与Elcomsoft iOS法医工具包一起用于逻辑采集。锁定记录存储在以下位置：

　　Windows Vista、Windows 7、8、10:%ProgramData%AppleLockdown

　　示例路径：

　　C： ProgramDataAppleLockdown 6f3a363e89aaf8e8bd293ee839485730344edba.plist

　　Windows XP:%AllUsersProfile%Application DataAppleLockdown

　　示例路径：

　　C:Documents and SettingsAll UsersApplication DataAppleLockdown6f3a363e89aaf8e8bd293ee839485730344edba1.plist