取证工具 ElcomSoft iOS Forensics Toolkit: 在 Windows 中加载 HFS 镜像

最新推荐文章于 2024-08-20 19:03:11 发布
最新推荐文章于 2024-08-20 19:03:11 发布
阅读量604 收藏 7
点赞数 23
文章标签: ios iOS数据恢复 Windows加载HFS镜像
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sanyuan7783/article/details/141360354
版权
天津鸿萌科贸发展有限公司是 ElcomSoft 系列取证软件的授权代理商。

Elcomsoft iOS Forensics Toolkit 功能简介

Elcomsoft iOS Forensics Toolkit 软件工具包适用于取证工作,对 iPhone、iPad 和 iPod Touch 设备执行完整文件系统和逻辑数据采集。对设备文件系统制作镜像,提取设备机密(密码、加密密钥和受保护数据)并解密文件系统镜像。

  • 完整的文件系统提取和钥匙串解密
  • 逻辑获取提取备份、崩溃日志、媒体和共享文件
  • 旧版设备的密码解锁和物理获取
  • 提取并解密受保护的钥匙串项目
  • 通过修改后的引导加载程序,可提取特定 iPhone 和 iPad 型号数据,满足取证要求
  • 自动禁用屏幕锁定以实现平稳、不间断的采集

支持:各版本 iPhone、iPad、iPad Pro 和 iPod Touch、第一代 HomePod;Apple Watch、Apple TV 4 和 4K;从 iOS 3 到 iOS 17 的所有 iOS 版本

更多内容,请参考这篇文章介绍。

新版本支持 Windows 中加载 HFS 镜像

ElcomSoft iOS Forensic Toolkit 的最新版本增加了将旧版 Apple 设备的 HFS 磁盘镜像作为驱动器符挂载到 Windows 系统的功能。这项在 Windows 上挂载 HFS 镜像的新功能使数据取证及恢复专家们能够在基于 Windows 的计算机上高效处理和分析从旧版 Apple 设备中提取的数字证据。

为什么需要 HFS 镜像?

在对采用 32 位架构的旧版 Apple 设备进行低级提取时,iOS Forensics Toolkit 采用了一种称为完美 HFS 获取的取证流程。在此过程中(仅在使用 Mac 或 Linux 版本的 iOS 取证工具包时可用),该工具会生成数据分区的完整、位精确的镜像。可以使用在此过程中提取的密钥解密该镜像。

这些旧设备使用 HFS 作为文件系统。在 macOS 中可以无缝加载 HFS 镜像,但 Windows 不支持此类磁盘镜像,甚至无法将 HFS 识别为文件系统。将 HFS 支持集成到 Windows 需要用户自行实现融合文件系统。ElcomSoft 在 iOS Forensics Toolkit 中合法综合了可以在 Windows 上安装文件系统的 WinFsp 资源库,实现了在 Windows 中加载 HFS 镜像的功能。

在 Windows 上安装 DMG 文件有几个目的。首先,许多常用的取证工具与 DMG 文件不兼容,但可以轻松使用提取的文件夹。这使得手动探索和分析 DMG 文件的内容、检查提取文件夹中的各种数据库和设置变得更加简单。

符合取证要求的只读加载

iOS Forensic Toolkit 以只读模式挂载 HFS 镜像,这是唯一一种可靠的取证模式。虽然只读是最安全的模式,但在使用某些工具(例如某些 SQLite 编辑器)检查文件系统中的 SQLite 数据库时,您可能会遇到一些问题。其中一些工具将无法打开 SQLite 数据库,因为它们会尝试与主数据库一起创建临时文件,并因只读模式而失败。如果您需要使用此类工具,我们强烈建议您将挂载的磁盘镜像中的文件复制到您的计算机并在那里打开它们;否则,不可避免地会修改原始磁盘镜像,从而意外篡改证据。

操作过程

使用 iOS Forensic Toolkit 安装 HFS 镜像时,有两个选项。第一个选项安装原始加密镜像;第二个选项安装已解密镜像。

要挂载原始加密的磁盘镜像,请使用以下命令:

eift_cmd hfstool --mount -i data.dmg -k keys.plist

请注意,除非从 DMG 文件和密钥所在的同一文件夹运行命令,否则需要提供 DMG 文件和密钥的完整路径。

要挂载已解密的镜像,请使用以下命令:

eift_cmd hfstool --mount -i data_dec.dmg

执行两个命令中的任何一个,就会打开一个控制台窗口:

使用已安装的镜像时请勿关闭此窗口。关闭 iOS Forensic Toolkit 将自动卸载磁盘镜像。

文件系统将被安装为第一个可用的驱动器符:

此时,可以手动检查文件系统的内容。

兼容性

iOS Forensic Toolkit 的当前版本支持以下设备/操作系统版本(请注意:下表列出的任何设备都不支持 HFS 镜像/加载)。

结论

iOS Forensics Toolkit 的最新版本让专家们可以在 Windows 电脑上轻松查看从旧版 Apple 设备中提取的磁盘镜像。这一点很重要,因为旧版 Apple 设备使用 HFS 作为文件系统,而 Windows 本身并不理解这种文件系统。现在,通过此更新,专家们可以挂载这些磁盘镜像而不会意外更改它们,从而确保证据完好无损。该新版本是数字取证的一大进步,使在 Windows 上调查旧版 Apple 设备变得更简单、更可靠。

鸿萌数据安全
关注
  • 23
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
ios_triage:Bash脚本从“ chekcra1ned” iOS设备提取数据
01-31
在实际操作,"ios_triage"还可以与其他工具结合使用,例如,配合ios_bfu_triage进行更深入的固件分析,或者与取证软件如Elcomsoft Phone Breaker或Forensic Toolkit (FTK)集成,实现更全面的证据处理。 在安全性...
osx和ios-security-awesome:OSX和iOS相关的安全工具
01-31
在IT行业,安全是至关重要的一个领域,尤其是在高度个性化的操作系统如Apple的OSX(现称为macOS)和iOS上。"osx和ios-security-awesome"是一个资源集合,旨在为安全专家、开发者以及对OSX和iOS系统安全感兴趣的...
Elcomsoft iOS Forensics Toolkit: iPhone/iPad/iPod 设备取证工具
sanyuan7783的博客
04-26 1193
对于所有支持的型号,工具包可以提取和解密用户分区和钥匙串。在受支持的设备上使用 iOS Forensic Toolkit 时,第一个提取的镜像的校验和与后续提取的校验和匹配,前提是该设备在提取之间关闭电源,并且在此期间从不启动已安装的 iOS 版本。Elcomsoft iOS Forensic Toolkit 可以提取钥匙串项目,包括受 ThisDeviceOnly 属性保护的钥匙串项目,从而使调查人员能够访问高度敏感的数据,例如网站和其他资源(以及在许多情况下,Apple ID)的登录/密码信息。
ElcomSoft iOS Forensic Toolkit: 在 iOS 取证重置屏幕密码锁的含义
sanyuan7783的博客
06-21 893
天津鸿萌科贸发展有限公司是 ElcomSoft 系列软件的授权代理商。在 iOS 设备取证领域,解锁屏幕密码锁是一道初始且重要的环节。使用 checkm8 漏洞进行低级提取已成为一种常见做法。但是,使用此方法时,可能偶尔需要删除设备的屏幕锁定密码,这可能会导致一些不良后果。在本文,我们将研究这些后果,并了解何时需要重置屏幕锁定,何时可以避免,以及最新的 ElcomSoft iOS Forensic Toolkit 可以为此做些什么。
Elcomsoft 取证工具包系列:Advanced Office Password Recovery
sanyuan7783的博客
02-18 1319
天津鸿萌科贸发展有限公司是 Elcomsoft 系列软件授权代理商。Advanced Office Password Recovery 是 Elcomsoft 取证工具的密码破解软件之一。它可以恢复、删除或规避使用各种 Office 套件创建的文档的密码。可以对 WordPerfect,Lotus,OpenOffice,Apple iWork 和 Hangul Office 格式的 Microsoft Office 文档和文件进行密码破解。
Elcomsoft 取证工具包系列: Elcomsoft Forensic Disk Decryptor 加密磁盘解密工具
sanyuan7783的博客
02-19 1982
Elcomsoft Forensic Disk Decryptor 软件支持即时访问存储在加密的 BitLocker、FileVault 2、PGP Disk、TrueCrypt 和 VeraCrypt 磁盘和容器的数据。该工具从 RAM 镜像、休眠和页面文件提取加密密钥,或使用纯文本密码或托管密钥来解密存储在加密容器的文件和文件夹,或将加密卷挂载为新的驱动器号,以便即时、实时访问。
Elcomsoft Distributed Password Recovery: 恢复多种文件及应用密码
sanyuan7783的博客
05-16 638
Elcomsoft Distributed Password Recovery 软件支持多种应用程序和文件格式,允许从 Office 文档、Adobe PDF 文件、PGP 磁盘和档案、个人安全证书和交换密钥、MD5 哈希值和 Oracle 密码、Windows 和 UNIX 登录密码恢复密码。HFS/HFS+ 及 APFS。带256位加密的PDF文件。带256位加密的PDF文件。带128位加密的PDF文件。带40位加密的PDF文件。带40位加密的PDF文件。BitLocker 及。及VeraCrypt。
取证工作:如何在取证现场快速重置及恢复本地 Windows 账户及密码
sanyuan7783的博客
05-15 885
天津鸿萌科贸发展有限公司是 ElcomSoft 系列软件的授权代理商。软件用于在所有版本的 Windows 重置或恢复本地 Windows 帐户和 Microsoft 帐户的密码。为任何用户帐户分配管理权限,重置过期密码或导出密码哈希以进行离线恢复。创建取证磁盘镜像。提供可启动的 Windows PE 环境。支持: Windows 7, 8, 8.1, Windows 10, Windows 11;所有 Windows Server 版本;32-bit 及 64-bit 系统;
取证数据恢复:冷系统分析,实时系统分析与镜像分析之间的过渡办法
sanyuan7783的博客
07-03 612
冷系统分析在现场经常使用,但该术语本身并不像“实时系统分析”那样常见,因此需要一些解释。该术语是在“冷启动攻击”之后诞生的,它反过来定义了一种非常特殊的攻击类型,允许从系统的易失性内存提取机密(例如加密密钥)。在冷启动攻击过程,专家从便携式介质(通常是 USB 闪存驱动器)启动计算机。这正是冷系统分析期间使用的方法:检查员从便携式 USB 驱动器启动计算机,并尝试访问系统和/或从计算机取证据。那么什么是“实时系统分析”呢?在实时系统分析,检查者尝试获得对经过身份验证的用户会话的控制权。
对Apple Watch的取证分析(续)
systemino的博客
07-10 2444
在过去几年,智能可穿戴设备的使用显著增加。2018年智能手表销量达1.41亿部,智能可穿戴设备销量同比增长近一倍。在激烈的市场竞争,Apple Watch占据了主导地位,2018年可穿戴设备销量超过2250万台,占据了全球市场近一半的份额。 从2015年开始,苹果总共生产了五种不同型号的WatchOS。WatchOS是一款基于iOS的可穿戴操作系统,专门为Apple Watch开发。 20...
ElcomSoftiOSForensicToolkit(ios设备采集软件)v5.0免费安装版
08-05
Elcomsoft iOS Forensic Toolkit是一款可以帮助您采集信息的软件,主要针对iOS设备采集,大家都知道iOS是国外的系统,使用这个系统的设备是非常多的,如果您需要对该设备进行物理采集以及逻辑采集,可以通过这款同样...
Elcomsoft Wireless Security Auditor,ewsa绿色文单文件版
09-27
Elcomsoft Wireless Security Auditor,ewsa绿色文单文件版;简体文,英文双语;单文件,绿色破解版,解压后直接使用。
Elcomsoft.Wireless.Security.Auditor,绿色文单文件完美破解版
03-12
这是个破解好的绿色版本 双击就可以运行,汉化包已经集合在里面了,进入后点击option选项 把里面的语言改为文就可以了。
快速上手 iOS Protocol Buffer
gcs的博客
08-16 806
本文主要介绍在 iOS 开发如何。更多关于 Protobuf 的介绍和相关的功能 api,读者可自行。Protocol Buffer(简称 Protobuf)是一种由Google开发的语言立、平台无关的序列化数据结构的方法。它允许你定义结构化的数据,并提供一种高效且灵活的方式进行数据序列化和反序列化。
异步交互技术Ajax-Axios
2202_75483664的博客
08-20 526
Ajax是如何实现异步交互的?AJAX = Asynchronous JavaScript and XML(异步的 JavaScript 和 XML)。AJAX 不是新的编程语言,而是一种使用现有标准的新方法。AJAX 最大的优点是在不重新加载整个页面的情况下,可以与服务器交换数据并更新部分网页内容。AJAX 不需要任何浏览器插件,但需要用户允许 JavaScript 在浏览器上执行。XMLHttpRequest 只是实现 Ajax 的一种方式。
iPhone变身万能钥匙,iOS 18.1让你的手机解锁一切
xixixihahaha_的博客
08-20 311
为了确保这些新功能的使用既安全又合规,Apple 要求开发者在使用 NFC 和 SE API 前必须签订一份商业协议,并支付一定的授权费用。随着 iOS 18.1 的发布,我们期待看到一系列新的应用程序和服务涌现出来,让我们的日常生活变得更加便捷。对于第三方开发者来说,这是一个巨大的机会,他们现在可以利用 NFC 和 SE API 创造出前所未有的应用和服务。然而,这也意味着开发者们需要投入更多的时间和资源来确保他们的应用能够顺利通过 Apple 的审核流程,并且在设计时要充分考虑用户体验和安全性。
axios的使用
m0_64450406的博客
08-17 946
这包括请求的 URL、方法(如 GET、POST)、请求头(headers)、请求体(data/params)等。它的格式取决于服务器返回的内容类型(Content-Type),通常是 JSON、XML、文本等。--watch参数表示json-server将监视db.json文件的更改,并在文件更改时自动重新加载数据。: 这是一个字符串,表示服务器响应的 HTTP 状态信息,如 "OK"、"Not Found" 等。在该文件夹下,创建一个名为db.json的文件,并在其添加json数据。
iOS 17.6.1版本重发,修复高级数据保护错误
最新发布
pf_data的博客
08-20 139
来升级,只需把手机连接电脑,然后打开牛学长苹果手机修复工具,选择iOS升级/降级模块,选择iOS升级功能,在点击升级,进入固件版本选择最新发布的 iOS 17.6.1正式版点击开始升级即可。在 iOS / iPadOS 17.6.1 的更新日志,苹果公司写道:“此更新包含重要的错误修复,并解决了一个无法启用或禁用高级数据保护功能的问题”,目前尚不清楚新旧两个版本有何不同。4、任何其他人,甚至是 Apple,都无法访问你的端对端加密数据,并且即使云端发生数据泄露,这些数据也是安全的。
elcomsoft wireless security auditor
03-16
Elcomsoft Wireless Security Auditor是一款用于测试和评估无线网络安全性的软件。它可以帮助用户发现无线网络的漏洞和弱点,并提供相应的解决方案。该软件支持多种加密算法,包括WPA/WPA2-PSK、WEP和802.11i。用户可以使用它来测试自己的无线网络,以确保其安全性。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

鸿萌数据安全

你的鼓励将是我创作的巨大动力!

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值