【IOS设备锁屏状态下基本信息的获取】

640?

来源:iForensics

ID:iForensics-2016


对于有些无法解锁的IOS设备,我们往往束手无策。但是,使用Elcomsoft iOS Forensic Toolkit工具,即使IOS设备处于锁屏状态,我们还是能获取设备的一些基本信息。今天,就给大家进行介绍。

一、Elcomsoft iOS ForensicToolkit简介

安装Elcomsoft iOS Forensic Toolkit软件,运行“Toolkit.cmd”,如图1所示,功能分为逻辑提取和物理提取两部分。物理提取需要设备越狱,我们很少遇到,不做过多介绍;逻辑提取分为:获取设备的基本信息;创建iTunes备份;复制多媒体文件;复制共享文件;复制日志文件。

640?wx_fmt=jpeg

图1

如果用户可以有幸拿到Lockdown文件,则可以获取设备更多的数据。具体能获取哪些数据可以参考图2所示。但是,Lockdown文件也是有时间期限的,对于IOS 11以下版本,可以一直有效;对于IOS 11,有效期限大概是两个半月。

640?wx_fmt=jpeg

图2

二、锁屏状态IOS设备基本信息的获取

在没有Lockdown文件,而且设备无法解锁的情况下,如果想提取设备的基本信息,可以连接IOS设备,输入命令“i”,首先会显示IOS设备名称、硬件型号、IOS版本、UDID信息,如图3所示;然后会生成文件“ideviceinfo.xml”,“ideviceinfo.xml”包含的信息比较多,主要包括:BasebandVersion、BoardId、BuildVersion、ChipID、DeviceColor、DeviceName、DieID、HardwareModel、ProductType、ProductVersion、UniqueChipID、UniqueDeviceID、WiFiAddress。“ideviceinfo.xml”的内容对我们取证还是有帮助的,但是其中没有设备型号,对此我们将设备型号和ProductType的对应关系进行了整理,具体可以参考附表。

640?wx_fmt=jpeg

图3

三、小结

以上是针对无法解锁的IOS设备,提取基本信息的经验分享,有不足之处,请留言反馈。


附表:

640?wx_fmt=jpeg


640?wx_fmt=jpeg

网络犯罪二十讲

作者:喻海松 著

当当 广告
购买

640?wx_fmt=jpeg

640?wx_fmt=jpeg

640?wx_fmt=png

展开阅读全文

没有更多推荐了,返回首页