完整文件系統提取和密鑰鏈解密

基于直接訪問文件系統的無越獄提取方法可用于有限范圍的iOS設備。使用內部開發的提取工具，該獲取方法將提取劑安裝到被獲取的設備上。該代理與專家的計算機通信，提供強大的性能和極高的提取速度，每分鐘超過2.5GB的數據。

更好的是，基于代理的提取是完全安全的，因為它既不修改系統分區，也不重新裝載文件系統，同時對提取的信息執行自動動態哈希。基于代理的提取不會對用戶數據進行任何更改，從而提供取證聲音提取。

文件系統映像和所有密鑰鏈記錄都被提取和解密。基于代理的提取方法提供了可靠的性能，并導致取證聲音提取。提取后，只需按一下按鈕即可從設備中移除代理。

您可以提取整個文件系統，也可以使用快速提取選項，只從用戶分區獲取文件。通過跳過存儲在設備系統分區中的文件，快速提取選項有助于減少執行作業所需的時間，并將存儲空間減少數GB的靜態內容。

安裝和簽署提取代理需要在AppleDeveloper Program中注冊AppleID。Mac版取消了這一要求，允許使用常規的AppleID對提取代理進行簽名并將其側載到iOS設備上。

基于越獄的提取

除了基于代理的提取外，iOSForensic Toolkit還完全支持提取所有可使用越獄功能的越獄設備。完整文件系統提取和密鑰鏈解密可用于越獄設備。支持所有公共越獄。

精選iPhone和iPad型號的法醫聲音提取

為了保存數字證據，監管鏈從數據收集的第一點開始，以確保在調查期間收集的數字證據保持法院受理狀態。新的、基于引導加載程序的提取方法跨提取會話提供可重復的結果。在受支持的設備上使用iOSForensicToolkit時，如果設備在兩次提取之間斷電，并且在此期間從不引導已安裝的iOS版本，則第一個提取圖像的校驗和將與后續提取的校驗和匹配。

新的提取方法是迄今為止最干凈的。我們實現的基于引導加載程序的漏洞利用直接源自源代碼。所有工作都完全在RAM中執行，設備上安裝的操作系統保持不變，在引導過程中不使用。我們獨特的直接提取工藝具有以下優點：

可重復的結果。如果設備一直處于關閉狀態，并且從不在會話之間引導iOS，則后續提取的校驗和將與第一個匹配。

支持iPhone5s、6/6s/Plus、SE（原裝）、iPhone7/8/Plus、iPhoneX。

支持iPad5、6和7、iPadMini 2、3和4、iPadAir 1和2、iPadPro 1和2，iPodTouch 6和7，以及AppleTV 4和4K

iOS兼容性廣。支持iOS8.0至iOS15.5。

非接觸式系統和數據分區。

零修改策略：100%的補丁發生在RAM中。

與越獄相比，安裝過程得到充分指導，更加可靠。

鎖定設備支持BFU模式，而USB限制模式可以完全繞過。

注：引導加載程序級別的提取只在Mac版本中提供，需要一臺macOS計算機。