基于完整文件系统提取和密钥链解密

完整文件系统提取和密钥链解密

基于直接访问文件系统的无越狱提取方法可用于有限范围的iOS设备。使用内部开发的提取工具，该获取方法将提取剂安装到被获取的设备上。该代理与专家的计算机通信，提供强大的性能和极高的提取速度，每分钟超过2.5GB的数据。

更好的是，基于代理的提取是完全安全的，因为它既不修改系统分区，也不重新装载文件系统，同时对提取的信息执行自动动态哈希。基于代理的提取不会对用户数据进行任何更改，从而提供取证声音提取。

文件系统映像和所有密钥链记录都被提取和解密。基于代理的提取方法提供了可靠的性能，并导致取证声音提取。提取后，只需按一下按钮即可从设备中移除代理。

您可以提取整个文件系统，也可以使用快速提取选项，只从用户分区获取文件。通过跳过存储在设备系统分区中的文件，快速提取选项有助于减少执行作业所需的时间，并将存储空间减少数GB的静态内容。

安装和签署提取代理需要在AppleDeveloper Program中注册AppleID。Mac版取消了这一要求，允许使用常规的AppleID对提取代理进行签名并将其侧载到iOS设备上。

基于越狱的提取

除了基于代理的提取外，iOSForensic Toolkit还完全支持提取所有可使用越狱功能的越狱设备。完整文件系统提取和密钥链解密可用于越狱设备。支持所有公共越狱。

精选iPhone和iPad型号的法医声音提取

为了保存数字证据，监管链从数据收集的第一点开始，以确保在调查期间收集的数字证据保持法院受理状态。新的、基于引导加载程序的提取方法跨提取会话提供可重复的结果。在受支持的设备上使用iOSForensicToolkit时，如果设备在两次提取之间断电，并且在此期间从不引导已安装的iOS版本，则第一个提取图像的校验和将与后续提取的校验和匹配。

新的提取方法是迄今为止最干净的。我们实现的基于引导加载程序的漏洞利用直接源自源代码。所有工作都完全在RAM中执行，设备上安装的操作系统保持不变，在引导过程中不使用。我们独特的直接提取工艺具有以下优点：

可重复的结果。如果设备一直处于关闭状态，并且从不在会话之间引导iOS，则后续提取的校验和将与第一个匹配。

支持iPhone5s、6/6s/Plus、SE（原装）、iPhone7/8/Plus、iPhoneX。

支持iPad5、6和7、iPadMini 2、3和4、iPadAir 1和2、iPadPro 1和2，iPodTouch 6和7，以及AppleTV 4和4K

iOS兼容性广。支持iOS8.0至iOS15.5。

非接触式系统和数据分区。

零修改策略：100%的补丁发生在RAM中。

与越狱相比，安装过程得到充分指导，更加可靠。

锁定设备支持BFU模式，而USB限制模式可以完全绕过。

注：引导加载程序级别的提取只在Mac版本中提供，需要一台macOS计算机。