Elcomsoft iOS Forensic Toolkit 5.30 bietet eine neue, forensisch einwandfreie Extraktionsmethode für Apple-Geräte mit iOS 11 bis 12.4. Die vollständige Dateisystemextraktion mit Schlüsselbund-Entschlüsselung ist verfügbar, ohne dass hierfür ein Jailbreak installiert sein muss.
Elcomsoft iOS Forensic Toolkit 5.30 wurde aktualisiert, um ein forensisch einwandfreies, jailbreakfreies Extrahieren von iPhone- und iPad-Geräten mit iOS 11 bis 12.4 zu unterstützen. Die neue Extraktions-Methode basiert auf dem direkten Zugriff auf das Dateisystem und erfordert keinen Jailbreak des Geräts. Benutzer von EIFT 5.30 können die vollständige Dateisystemextraktion durchführen und den Schlüsselbund entschlüsseln, ohne die Risiken oder Spuren von Jailbreaks von Drittanbietern in Kauf nehmen zu müssen.
Die unterstützten Geräte reichen vom iPhone 5s bis zum iPhone Xr, Xs und Xs Max, auf denen jede iOS-Version von iOS 11 bis iOS 12.4 ausgeführt wird (außer iOS 12.3 und 12.3.1). Apple iPad-Geräte, die auf dem entsprechenden SoC ausgeführt werden, werden ebenfalls unterstützt.
Worum geht es
iOS Forensic Toolkit 5.30 erweitert die Palette der verfügbaren Erfassungsmethoden. In früheren Versionen bot das Toolkit die Wahl zwischen erweiterter logischer Extraktion (alle Geräte) und vollständiger Dateisystemextraktion mit Schlüsselbundentschlüsselung (nur Geräte mit Jailbreak). Die zweite Erfassungsmethode erforderte die Installation eines Jailbreak, der von einem Drittanbieter bezogen werden musste. Der Jailbreak ist erforderlich, um einen Low-Level-Zugriff auf das Dateisystem und den Schlüsselbund zu ermöglichen, wodurch im Vergleich zur erweiterten logischen Erfassung (auf der Basis von iOS-Backups) erheblich mehr Beweise extrahiert werden können.
In Version 5.30 wird eine dritte Extraktionsmethode eingeführt, die auf dem direkten Zugriff auf das Dateisystem basiert. Die neue Methode installiert einen Elcomsoft-Extraktionsagenten auf dem Gerät, das analysiert wird. Der Agent kommuniziert mit dem Computer des Experten und bietet eine robuste Leistung und eine extrem hohe Extraktionsgeschwindigkeit von über 1 GB Daten pro Minute. Besser noch: Die agentenbasierte Extraktion ist absolut sicher, da sie weder die Systempartition verändert noch das Dateisystem erneut bereitstellt, während das automatische Hashing der extrahierten Informationen im laufenden Betrieb durchgeführt wird. Die agentenbasierte Extraktion nimmt keine Änderungen an den Benutzerdaten vor und bietet eine forensisch fundierte Extraktion. Sowohl das Dateisystem-Image als auch alle Schlüsselbunddatensätze werden extrahiert und entschlüsselt.
Die neue agentenbasierte Extraktionsmethode liefert eine solide Leistung und führt zu einer forensisch einwandfreien Extraktion. Der Agent kann nach Abschluss der Extraktion mit einem einzigen Befehl vom Gerät entfernt werden.
Um den Extraktionsagenten verwenden zu können, muss auf dem Apple-Gerät iOS 11 bis 12.4 mit Ausnahme von iOS 12.3, 12.3.1 und 12.4.1 ausgeführt werden. ElcomSoft arbeitet daran, die Palette der unterstützten Versionen von iOS zu erweitern.
Versionshinweise: