ElcomSoft 公司致力于提供符合许可法规的数据取证解决方案,满足所有相关的法律要求。
Elcomsoft iOS Forensic Toolkit软件提供面向 iPhone/iPad/iPod 设备的取证功能。该软件有三种版本,分别用于 macOS、Windows 和 Linux 版本系统。
macOS、Windows 和 Linux 版本比较
iOS Forensic Toolkit 是一款真正的多平台工具,在不同平台上共享相同的用户界面和几乎相同的功能。这三个版本在系统要求(除了明显的平台/操作系统支持之外)、便利性和兼容性方面有所不同。我们从功能比较开始,介绍这些不同之处。
功能比较
Windows 版本的 iOS Forensic Toolkit 支持逻辑和基于代理的提取方法,但不支持基于引导加载程序的提取,这些提取仅适用于 macOS 和 Linux 平台。使用常规的非开发人员 Apple ID 对提取代理进行签名的能力仍然是 Mac 版的独有功能。
下表显示各版本在功能方面的差异。
兼容性
Windows 版本可以在 Windows 10 和 Windows 11(目前仅限 Intel)上运行。请注意,您必须在 Windows 计算机上安装 iTunes (或 Apple Devices 应用程序);您还必须确保在该计算机上至少启动过一次 iTunes/Apple 设备,然后才能使用 iOS Forensic Toolkit(不必运行它,只需启动一次以确保系统正确初始化)。在 macOS 或 Linux 计算机上,不需要任何工具。
macOS 版本支持 macOS BigSur 和更新版本。对于 macOS,Apple Silicon 计算机比老化的 Intel 平台更受欢迎,但我们仍然通过 iOS Forensic Toolkit 的旧版版本支持较旧的 Mac。请注意,在某些 Intel 系统上可能需要重新连接设备,而在基于 Apple Silicon 的计算机上则不存在此类问题。对于仅限 Type-C 的设备,需要 USB-C 转 USB-A 集线器来连接设备和 Toolkit 的 USB 加密狗,在某些计算机上还需要连接充电线。
Linux 版本已在多个 Linux 发行版上进行了测试,正式支持当前的 Debian 、Ubuntu 、Kali Linux 和 Mint 发行版,确保使用不同 Linux 设置的取证专业人员能够无缝操作。目前支持基于 Intel 的计算机。
USB-C 端口:需要一个 USB-A 端口供 Toolkit 的 USB 加密狗连接使用,另一个 USB-A 端口用于 checkm8 提取。对于其他类型的提取 (agent、extended logical),我们强烈建议改用 USB-C 端口。最后,某些 MacBook 上可能需要另一个 USB-C 端口来连接充电线。
文件系统 :如果您计划在不同的计算机上使用提取的数据,我们强烈建议将介质(例如外部 SSD 驱动器)格式化为 exFAT,因为 exFAT 是目前所有三个操作系统唯一正确支持的文件系统。
方便
虽然所有三个版本都共享相同的强大命令行界面 (CLI),但在某些情况下,一个或另一个版本有很多方面更占据优势。
在 Windows 中安装是最简单的,您只需安装 iOS Forensic Toolkit 并立即运行它(但请注意,您需要在该计算机上安装并至少启动一次 iTunes 或 Apple 设备)。Linux 版本需要额外的依赖项,这些依赖项必须手动安装。
macOS 要求在安装 Toolkit 后立即删除隔离标志,这在现代 Mac 上可能很复杂。另一方面,Mac 版支持软件防火墙------这是 Linux 或 macOS 中不可用的功能(必须使用我们基于 Raspberry Pi 的解决方案)。
可靠性
在这三个平台中,Mac 版在可靠性方面毫不费力地获胜。这部分是由于更好的驱动程序,部分是因为一些东西可能是 Mac 原生的,但对其他平台来说是陌生的。
结论
如果您有 Mac,请使用 Mac 设备运行该软件。如果能够负担得起 Mac,就买 Mac 设备来运行该软件。否则的话,Linux 版本是完全支持 checkm8 的下一个最佳选择(我们正在努力开发 ARM 版本,这将允许在经济实惠且高度可移植的 Raspberry Pi 5 平台上运行它)。Linux 版本不允许您在没有开发人员帐户的情况下使用代理,这将是另一笔投资。最后,如果您只能访问 Windows,请使用您拥有的资源:iOS Forensic Toolkit 在高级逻辑提取和基于代理的低级提取方面表现良好(需拥有 Apple 的开发人员帐户)。