elcomsoft

Elcomsoft – iPhone資料保存與提取步驟分析

我們都知道智慧手機中存儲了重要的資料,使它們成為極好的證據來源。但是,資料保存和提取並不如想像中容易。並沒有單一的方式可簡單的提取證據。在這篇文章中,我們將按正確的順序描述 iPhone 保存與資料提取步驟,以便在能力範圍中取得最多的資料。

第一步:資料保存

第一個最重要的步驟是資料保存。您必須確保 iPhone 維持相同狀態,並且在取得設備後不會修改(或遺失)任何資料。以下是您需要做的事情:

  1. 啟用飛航模式(即使螢幕鎖定狀態下,通常可以下滑進入到控制中心)。
  2. 在控制中心裡再次確認 Wi-Fi 與藍芽是否關閉。
  3. 將 iPhone 接上行動電源。
  4. 若有相容於 iPhone 的 USB 配件,接上避免手機進入 USB 限制模式(這功能僅針對 iOS 11.4.1,iOS 12 以上則無法排除)。
  5. 若有訊號遮蔽包,將 iPhone 與行動電源一同放入。

為什麼要使用行動電源?

如果 iPhone 完全放電後,您將面對 BFU(Before First Unlock)狀態,與 AFU(After First Unlock)狀態相比,資料提取的選項會大幅降低。即使 iPhone 設置了螢幕密碼,與 BFU 相比,在 AFU 模式下提取資料的選項要容易得多。但是,密碼破解需要 USB Port 處於尚未被鎖上狀態,這就是上述項次四的目的。

感覺 iPhone 保存的步驟還算簡單?如果過程沒有絕對謹慎的處理,你會面臨到以下狀況:

  1. 如果 iPhone 有指紋解鎖,請絕對不要觸摸到 Touch ID!否則,你會浪費五次嘗試用指紋解鎖手機的一次。如果您需要檢查手機是否有螢幕鎖,請使用實體電源按鈕。
  2. 如果是 iPhone X 之後的型號,請不要將臉對上 Face ID 感應器。當您拿起手機時,Face ID 會立即開始辨識人臉。如果檢測到人臉,則會嘗試認證。如果人臉辨識連續失敗兩次,就只能使用密碼解開手機,這樣就浪費了使用嫌犯的臉解鎖的機會。
  3. 避免手機進入 S.O.S. 緊急模式。進到該模式後 Touch 與 Face ID 都會暫時失效直到輸入解鎖密碼。另外,USB 限制模式也會馬上啟用。
  4. 請注意 iPhone 生物識別的各種過期規則。
  5. 如果忘記啟用飛航模式,並關閉 Wi-Fi 與藍芽,手機可以從遠端刪除!

不要只是查扣手機

在合法查扣的程序下,記住不要僅查扣手機,若現場有嫌犯的筆電與桌機,也必須一起帶回。隨身碟、USB 硬碟、Apple Watch 或 Apple TV 等裝置有時也可幫助釐清案情。

為什麼要查扣其他裝置?

電腦(和外部存儲設備)可能包含可解鎖 iPhone、進入到 iCloud 網站等有價值資訊。

如何使用 Lockdown 檔案來取得 iPhone 備份檔

要使用 Lockdown 檔案來備份 iOS 設備,您需要以下項目:

  1. iOS 裝置必須是開機狀態並在 AFU 模式。
  2. 從電腦或 Mac 上取得 Lockdown 資料。
  3. Elcomsoft iOS Forensic Toolkit:取得電腦或 Mac 上的 lockdown 檔案。
  4. Elcomsoft Phone Breaker:解密備份檔或暴力破解備份檔密碼。

提取 Lockdown 檔案

您必須從電腦上取得正確的 lockdown 檔案,才能透過 Elcomsoft iOS Forensic Toolkit 在 iPhone 上進行邏輯提取。lockdown 檔案位置如下:

Windows Vista, 7, 8, 8.1, Windows 10:%ProgramData%AppleLockdown
Windows XP:%AllUsersProfile%Application DataAppleLockdown
macOS:/var/db/lockdown

開始提取

  1. 執行 Elcomsoft iOS Forensic Toolkit 並輸入 Toolkit-JB 指令。
  2. 選擇 B – Create iTunes-style backup of the device。
  3. 如果失敗,可使用 I – Device Info 確認 iOS UUID 與 lockdown 檔名是否一致。
  4. 如果原 iTunes 備份沒有設定密碼,iOS Forensic Toolkit 會自動改為加密備份。預設密碼為:123。
  5. 若原備份模式有設定密碼保護,則必須使用 Elcomsoft Phone Breaker 暴力破解備份檔案密碼。

(上圖)Elcomsoft iOS Forensic Toolkit

總結

當在一個犯案現場查獲一支 iOS 裝置,若裝置不是關機狀態,則有機會透過嫌犯的 PC 或 Mac 上的 lockdown 檔案對裝置進行提取。這個方式必須建立在一個嚴謹的現場手機保存規範,手機在查扣之後必須關閉網路且絕對不能關機,才有機會成功的提取 iOS 裝置上的資料。

← 回上一頁

© Copyright 2026
揭諦數位  |  ParamitaDigital  |  All Rights Reserved