Elcomsoft Phone Viewer Forensic是ElcomSoft公司推出的轻量级取证查看器,用于分析ElcomSoft以及第三方提取工具提取的信息。它提供了快速、轻便的数据查看选项,能够解密并查看iOS备份和同步的数据,浏览iOS文件系统映像,分析iCloud照片库,轻松访问同步数据。Elcomsoft Phone Viewer特别适合于需要快速审视证据数据的场景,具有简便的操作界面,无需复杂的学习过程。
软件支持查看和分析由ElcomSoft数据获取工具提取的数据,并将证据导出,以便于在第三方工具中继续分析。与其他取证工具相比,Elcomsoft Phone Viewer能够查看更多通常不可用的信息。它兼容本地iOS备份(iTunes)、iCloud备份、iOS同步数据以及iOS完整文件系统映像,支持所有版本的iOS、iPadOS和tvOS 16发布。
Elcomsoft Phone Viewer是Elcomsoft Phone Breaker的理想伴侣,提供了对该工具生成的所有数据格式的完整支持。它定期维护和及时更新,首先支持其他ElcomSoft工具提取、下载或解密的最新移动备份格式。如果使用我们的移动数据获取工具,Elcomsoft Phone Viewer将是完美的配合软件。需要注意,Elcomsoft Phone Viewer只能打开未加密的备份,以及已知密码的iTunes备份。如果你有一个未知密码加密的备份文件,可以使用Elcomsoft Phone Breaker来恢复密码。
完美的观影伴侣
又一个“我也是”的法医观众?我们努力寻找一种可以推荐给客户的工具,用于查看使用Elcomsoft Phone Breaker解密或下载的数据。市场上没有一种工具能满足我们对速度、兼容性和易用性的严格要求。这就是为什么我们推出了自己的查看工具。
Elcomsoft Phone Viewer 是 Elcomsoft Phone Breaker 的理想查看伴侣,完全支持此工具生成的所有数据格式。Elcomsoft Phone Viewer定期维护和及时更新,是第一个获得对使用其他ElcomSoft工具提取,下载或解密的最新移动备份格式的支持。使用我们的移动采集工具?Elcomsoft Phone Viewer是一个完美的伴侣!
请注意,Elcomsoft Phone Viewer只能使用已知密码打开未加密的备份以及iTunes备份。如果您有使用未知密码加密的备份文件,请使用 Elcomsoft Phone Breaker 恢复密码。
分析在线活动
Elcomsoft Phone Viewer显示用户的在线活动,包括Web浏览历史记录和搜索查询,浏览器书签和打开的选项卡,包括页面快照。有关最近的搜索查询和上次访问的网站的信息已经帮助解决了多起案件,并且无疑将有助于调查犯罪。
访问同步的数据、密码和消息
通话记录、通讯录、便笺、日历等信息以及 Web 浏览活动(包括 Safari 历史记录(包括已删除的项目)、书签和打开的标签页等信息都可以与 Apple 服务器同步。与可能每天创建也可能不创建的iCloud备份不同,同步信息在相应活动发生几分钟后就会推送到Apple服务器。上传后,同步的数据可以保留数月,最终用户无法选择清除数据或禁用同步。
可以长时间获得同步记录;比 iOS 设备和设备备份中可用的时间长得多。获取现有记录和已删除记录,筛选器可以应用于仅显示已删除的记录。
Elcomsoft Phone Viewer是ElcomSoft的库存工具,用于查看使用Elcomsoft Phone Breaker从Apple iCloud提取的同步数据。可以查看以下类型的同步数据:
- iCloud 中的信息:包括附加的媒体文件和文稿
- Safari(浏览历史记录、书签、在用户设备上打开的标签页)
- 语音备忘录
- 日历、便笺和通讯录
- 通话记录(有关拨打和接听的电话的信息)
- Apple 地图(路线、地点、搜索)
- Wi-Fi(无线接入点、MAC 地址、添加日期和设备)
- 钱包(除支付数据外的所有内容)
- 帐户信息(有关在 Apple ID 帐户上注册的用户和设备的综合信息)
多媒体画廊
Elcomsoft Phone Viewer可以显示用手机捕获的图片和视频,或由众多应用程序之一保存的图片和视频。但你不用担心,在一个缩略图库中不会出现成千上万的图像。这些文件将自动拆分为多个类别,从而可以轻松发现哪些照片是用手机的相机拍摄的,或者是作为消息或附件接收的。一个单独的类别过滤掉系统和应用程序图像,如按钮、徽标和启动画面。相册视图可用于让您更好地浏览数千张图像。
聚合位置
在给定的备份或映像中可能有多个位置数据源。位置数据可以在日历事件、iMessage 附件、地图缓存和系统日志中找到。地理位置是最重要的EXIF标签之一。Elcomsoft Phone Viewer将自动从多个来源提取位置数据,并使用OpenStreetMap绘制位置图。在调查过程中,绘制从多个来源提取的 GPS 坐标的能力变得非常方便。
分析 Apple 健康数据
在调查过程中,健康数据可以作为重要证据。至少,数据包括步数、跑步和步行距离,以及用户步行或跑步的确切时间戳。如果用户佩戴符合 HealthKit 标准的设备(如 Apple Watch 或第三方健身追踪器),则可以获得更多证据。大量第三方应用程序可能会对健康数据做出重大贡献。
Elcomsoft Phone Viewer可以在物理提取过程中使用Elcomsoft iOS Forensic Toolkit或GrayKey以TAR / ZIP格式显示存储在受密码保护的iTunes备份中存储的健康数据和从iOS设备获得的文件系统图像。
TAR 映像:iOS 文件系统
自从苹果推出首款 64 位 iPhone iPhone 5s 以来,物理获取从未如此。对于所有配备 Apple 64 位处理器的 iPhone 和 iPad 设备,物理采集只能通过文件系统映像进行。无论您是执行 checkm8 提取还是使用提取代理,这些工作的结果都是包含设备文件系统映像的 TAR 存档。Elcomsoft iOS Forensic Toolkit 生成 TAR 文件作为“F”(文件系统)命令的结果。
Elcomsoft Phone Viewer提供了一个轻巧方便的选项,可以快速轻松地分析物理采集结果中发现的证据。
已安装的应用程序
“应用程序”视图允许查看有关正在分析的 iOS 设备上安装的应用程序的信息。专家可以访问设备上安装的所有应用程序的列表及其获取日期(付费应用程序的购买日期或免费应用程序的首次安装日期)。其他信息包括用于购买的 App 版本、类别和 Apple ID。由于其中一些信息在备份中不可用,Elcomsoft Phone Viewer通过iTunes的在线连接自动请求其他数据。
通过使用“应用程序”视图,专家可以深入了解用户拥有哪些应用程序、他们使用哪些社交网络以及他们与哪些消息传递工具进行通信。
Wi-Fi 网络
通过 Wi-Fi 视图,可以访问保存在受密码保护的 iOS 备份中的 Wi-Fi 网络列表。显示每个网络的SSID、MAC地址和密码。其他网络参数包括网络BSSID和加密标准。此外,Elcomsoft Phone Viewer会自动提取首次加入和上次使用网络的日期和时间。
专家可以按上次连接时间对列表进行排序,从而通过查看用户在给定时间段内加入的网络来跟踪用户。
iCloud 照片图库
从2.30版本开始,Elcomsoft Phone Viewer可以显示由Elcomsoft Phone Breaker提取的iCloud照片库图像。支持按相册自动分组和高级过滤。
访问 iOS 通知
Elcomsoft Phone Viewer允许查看从iCloud备份中提取的iOS通知以及使用iTunes生成的本地备份。该工具可以显示几年前的通知,除非用户阅读或关闭它们。
通知是系统的重要组成部分,可能包含大量易变、高度敏感的信息。几乎所有具有取证意义的应用程序都使用通知。电子邮件客户端、即时通讯工具、出租车和旅行应用程序、社交网络和许多其他应用程序都可以推送通知。除非关闭,否则这些通知将包含在本地和云系统备份中。
EXIF支持
轻松访问存储在图像中的EXIF信息。Elcomsoft Phone Viewer显示拍摄图像的时间、地点和照明条件。详细的相机信息允许确定图像是在此设备上捕获的还是从另一台设备接收的。要查找在事件发生前后拍摄的图像?只需指定一个数据范围,Elcomsoft Phone Viewer就会根据图像的EXIF标签自动显示在此期间拍摄的图像。
快速云浏览器
Elcomsoft Phone Viewer是探索从云下载的在线备份中包含的信息的完美工具,而Elcomsoft Phone Breaker是从iCloud下载移动备份的完美工具。使用Elcomsoft Phone Breaker从Apple iCloud快速下载选择性信息,并查看您在Elcomsoft Phone Viewer中获取的信息。这两种工具使调查人员能够在几分钟内获得有关嫌疑人的基本信息,例如他们的电话、消息、地址簿和位置历史记录。
小、快、方便。
Elcomsoft Phone Viewer 是时间最优先的完美工具。通过将Elcomsoft Phone Viewer与其他ElcomSoft工具(如Elcomsoft Phone Breaker)结合使用,调查人员可以在几分钟内查看基本信息,从而节省时间。通过使用Elcomsoft Phone Breaker从Apple iCloud快速下载选择性信息,并在Elcomsoft Phone Viewer中查看获取的信息,调查人员可以在几分钟内获得有关嫌疑人的基本信息,例如他们的电话,消息,地址簿和位置历史记录。查看包含数千个条目的呼叫和消息数据库的能力,以及方便的全文和基于类别的搜索和过滤,使浏览获取的信息变得轻而易举。
一键导出
只需点击几下即可导出证据!您可以导出从 iOS 设备获取的数字证据,包括本地和云备份、iCloud 同步数据以及因物理采集而收到的文件系统图像。此外,位置数据将导出为行业标准的 KML 格式。Elcomsoft Phone Viewer以Microsoft Excel格式导出数据,使专家能够继续调查他们选择的取证产品。导出从许多受支持来源收集的数据的能力允许与最常用的取证和分析工具包轻松互操作。
方便的搜索和过滤
快速搜索数千条记录!Elcomsoft Phone Viewer提供实时过滤和全文搜索,使审查员能够在几秒钟内找到感兴趣的记录。搜索联系人、来电、便笺和消息,按姓名、号码和其他可用字段查找联系人,并通过全文搜索查找消息。
通过实时筛选,您可以选择仅显示收藏夹联系人,也可以选择仅显示一个或多个帐户(Exchange、iCloud、Google、Facebook 或任意组合)中的联系人。对于信息,您可以指定日期范围、信息类型(短信、彩信、iMessage 信息)以及是显示传入、发送还是所有信息。
屏幕时间密码
从iOS 12开始,屏幕时间密码可用于保护内容和隐私限制。启用“屏幕使用时间”密码并配置了限制后,专家无法访问iPhone的许多功能。Elcomsoft Phone Viewer可以显示iOS屏幕时间密码(如果存在)。特别是对于iOS 12,可以从受密码保护的iTunes备份中获取屏幕时间密码;必须知道备份密码。对于所有较新的iOS版本,iCloud解压是获取“屏幕使用时间”密码的唯一方法。
查看移动备份
Elcomsoft Phone Viewer 是一款快速、紧凑的工具,无需学习曲线。使用Elcomsoft Phone Viewer就像查看Excel电子表格一样简单。Elcomsoft Phone Viewer旨在简化移动取证的输入,为许多IT安全部门,办公室和一次性调查提供了足够的功能。
分析钥匙串记录
Elcomsoft Phone Breaker 是市场上唯一访问、提取和解密 iCloud 钥匙串的工具,iCloud Keychain 是 Apple 基于云的系统,用于跨设备存储和同步密码、信用卡数据和其他高度敏感的信息。Elcomsoft Phone Viewer可以显示使用Apple iCloud的Elcomsoft Phone Breaker获得的钥匙串记录。不限于iCloud钥匙串,该工具可以显示从受密码保护的本地备份中获取的钥匙串记录,并使用Elcomsoft iOS Forensic Toolkit从越狱设备或使用采集代理提取。
解密和分析信号对话和电报秘密聊天
Elcomsoft Phone Viewer可以通过物理采集解密从iPhone提取的Signal对话数据库。使用Elcomsoft iOS Forensic Toolkit的专家将在Elcomsoft Phone Viewer中打开文件系统映像,并使用提取的钥匙串文件解密Signal数据库。然后,Elcomsoft Phone Viewer将在眨眼间解密数据库并显示其内容。
Telegram 支持安全聊天。根据 Telegram 开发人员的说法,秘密聊天中的所有消息都使用端到端加密。秘密聊天是特定于设备的。它们不是 Telegram 云的一部分,也无法通过云采集提取。Elcomsoft Phone Viewer可以显示从Elcomsoft iOS Forensic Toolkit提取的TAR图像中获得的Telegram对话和秘密聊天。
评论(0)