iOS Forensic Toolkit(ios取證工具套件)可以恢復iPhone、ipad和iPod Touch設備的物理和邏輯采集，圖像設備文件系統，提取設備機密（密碼，加密密鑰和受保護的數據）并解密文件系統映像，支持32位和64位iOS設備的物理采集，支持帶鎖定支持和密鑰串提取的邏輯采集，甚至設置了備份密碼，也可以快速提取媒體文件和共享文件。

功能介紹

　　-使用配對記錄（鎖定文件）解鎖iOS設備

　　-邏輯獲取提取備份,崩潰日志,媒體和共享文件

　　-通過越獄對64位iOS設備進行物理獲取

　　-提取和解密受保護的鑰匙串項

　　-實時文件系統獲取

　　-自動禁用屏幕鎖定,以實現平穩,連續的采集

軟件特色

　　對運行AppleiOS的iPhone/iPad/iPod設備的增強取證訪問對

　　存儲在iPhone/iPad/iPod設備中的用戶數據進行完整的取證。ElcomsoftiOSForensicToolkit允許成像設備的文件系統,提取設備機密（密碼,密碼和加密密鑰）并解密文件系統映像。即 刻提供對大多數信息的訪問。請注意,某些型號需要越獄。有關詳細信息,請參見兼容的設備和平臺。

　　借助鑰匙串提取進行邏輯采集

　　iOSForensicToolkit支持邏輯采集,這是一種比物理采集更簡單,更安全的采集方法。邏輯獲取可為設備中存儲的信息生成標準的iTunes風格的備份。雖然邏輯采集返回的信息少于物理信息,但建議專家在嘗試更具侵入性的采集技術之前創建設備的邏輯備份。

　　使用iOSForensicToolkit進行邏輯采集是*允許訪問加密的鑰匙串項目的采集方法。邏輯獲取應與物理獲取結合使用,以提取所有可能的證據類型。

　　iOS設備的

　　物理采集物理采集是提取完整應用程序數據,受保護的鑰匙串項,下載的消息和位置歷史記錄的*采集方法。由于直接低級別訪問數據,與邏輯采集相比,物理采集返回更多信息。ElcomsoftiOSForensicToolkit支持運行大多數版本的iOS7至12的越獄64位設備（iPhone5s和更高版本）。

　　媒體和共享文件提取

　　iOSForensicToolkit提供了快速提取媒體文件的功能,例如相機膠卷,書籍,錄音和iTunes媒體庫。與創建可能需要很長時間的本地備份不同,媒體提取可以在所有受支持的設備上快速輕松地進行。通過使用配對記錄（鎖定文件）可以從鎖定的設備中提取數據。

　　除媒體文件外,iOSForensicToolkit還可提取多個應用程序的存儲文件,無需越獄即可從32位和64位設備提取關鍵證據。盡管在不越獄的情況下訪問應用程序數據受到了限制,但這項新技術允許提取AdobeReader和MicrosoftOffice本地存儲的文檔,MiniKeePass密碼數據庫等。提取需要未鎖定的設備或未到期的鎖定記錄。如果使用鎖定記錄,則除非刪除鎖定屏幕密碼,否則某些文件可能無法訪問。

配置要求

　　系統要求：

　　-Windows Server 2016

　　-Windows Server 2012

　　-Windows 7（32位）

　　-Windows 7（64位）

　　-Windows 8

　　-Windows 8.1

　　-Windows 10

　　兼容的設備和平臺：

　　-帶有越獄功能的64位iOS設備：物理獲取（文件系統提取，鑰匙串解密）

　　-Apple TV 4（電纜連接）和Apple TV 4K（通過Xcode的無線連接，僅Mac）

　　-Apple Watch（全部）世代）; 需要第三方IBUS適配器

　　-不越獄：僅*邏輯獲取[1]

　　邏輯獲取包括：

　　-有關設備的擴展信息

　　-iTunes格式的備份（包括許多鑰匙串項目）

　　-已安裝的應用程序列表

　　-媒體文件（即使備份受密碼保護）

　　-共享文件（即使備份是密碼-受保護的）