苹果公司历来将用户的隐私保护和数据安全作为其核心关注点之一，从软件加密到硬件加密，苹果设备历次迭代更新背后的数据保护机制也在不断进化。

因此，苹果设备取证一直是电子数据取证界的热门话题，各大厂商也投入大量资源加入到这场“矛与盾”的竞争中。

2019年苹果设备取证领域的热门话题

1、Mac T2安全芯片的广泛应用

2018年底开始苹果Mac系列电脑陆续开始配备T2安全芯片，通过T2管着 Mac 电脑中很多关键元器件的“使用权”。T2芯片内置了专用的 AES 加密引擎，主要用来保护SSD硬盘上的数据。即使直接把硬盘拆下来插到另一台 Mac上也无法读取其中的数据，因为原机器在启用这块硬盘时，其内的T2芯片就已经和它牢牢绑定了。

对于取证来说，T2安全芯片无疑是需要逾越的一个障碍。2020年这个问题终于有了解决方案。

2、iOS黑天鹅事件

checkm8漏洞（iOS黑天鹅事件）可以让取证人员深度访问iOS设备，而苹果无法通过未来的软件更新来阻止或修补这一漏洞。该漏洞被认为是近年来iPhone取证界的重大进展之一。此时距iOS7系统漏洞已5年，而距iPhone4 DFU已经8-9年。

3、iCloud安全机制加固

iCloud 在iOS13推出后也在不断加固自身安全访问特性，在拥有appleID密码的前提下，第三方取证依旧难以实现。目前，这一情况正在发生着改变。

2020年注定是“非凡”的一年。新年伊始，多个厂商同时在Mac、iOS、iCloud等多个方向发布解决方案或推出升级。

1、Forensic Toolkit国际版综合分析分析软件 V7.2版本

                                                        （点击图片了解产品详情）

ACCESSDATA公司重磅发布FTK 7.2版本，McAfee加密硬盘破解、苹果T2解密支持、ABBYY集成、将与XRY集成、Mac Agent、云服务、人脸识别、图片识别、JSON导入导出等功能相继推出，其中与苹果取证有关的两项：

u  苹果Mac T2芯片解密支持

u  即将与XRY手机取证产品无缝集成

2、MacQuisition  Mac定向数据获取工具 V2020 R1版本

                                                       （点击图片了解产品详情）

Blackbag公司的MacQuisition是第一个也是目前唯一一个使用Apple T2芯片创建Mac物理镜像的解决方案。经过十多年的测试和使用，MacQuisition运行在MacOSX操作系统上，可以安全地引导和获取185种Mac计算机型号在其原生环境中的数据，甚至是Fusion驱动器，同时支持APFS文件系统镜像功能以及Mojave版本Mac OS系统内存提取功能。

3、Oxygen Forensic Detective手机综合分析软件  V12.1版本

                                                        （点击图片了解产品详情）

Oxygen公司的OFD 12.1版本，使用了全新的设计、全新的架构，带来如下特色功能：

u  增加了新的iOS系统解析功能，支持苹果手机设备日志信息，如屏幕使用时间信息解析

u  支持每个app使用内置分析工具进行分析，如聊天方式查看、时间线显示、社交关系图形化显示

u  解析速度提升3倍

u  支持图片人脸分类

u  运营商话单分析，配合本地数据进行话单路径回放、比对、多路线重叠显示

4、Elcomsoft移动设备取证套件

                                                        （点击图片了解产品详情）

作为“密码界”的专家，同时是2019年底轰轰烈烈的iOS设备checkmate8漏洞应用厂商，Elcomsoft一直扮演着苹果设备取证的急先锋角色。2020年Elcomsoft移动设备取证套件的全新队形也已集结完毕：

u  iOS Toolkit 支持BFU模式提取Checkra1n越狱后的苹果手机数据并部分解析

u  Phone Breaker 支持iOS iTunes备份密码破解、iCloud数据获取与解析，包含屏幕时间密码

u  Phone Viewer 支持iOS、BlackBerry 10、WidowsPhone 手机生成的本地和云备份的内容分析

u  Blackberry Backup Explorer 黑莓手机备份查看

u  Cloud eXplorer 支持Google snapshot 云盘 ID密码已知情况下获取网盘文件

u  WhatsApp分析工具支持6种数据获取及分析方式（包含本地，云端，备份等）

5、Falcon-NEO猎鹰高速硬盘克隆机  V3.0版本

                                                          （点击图片了解产品详情）

Logicube公司官方发布Falcon-NEO猎鹰高速克隆机最新版本软件(v3.0)。此版本包括许多重要的添加和改进，尤其值得关注的是两个可选的更新选项：智能移动设备数据提取、支持新的云端存储数据获取。

智能移动设备数据提取功能作为单独选项插件为克隆机增加更为广泛的应用空间。

u  支持从iOS 13.3及以下、Android 4.0至10版本设备快速获取潜在的证据数据。

u  支持对于未锁定的iOS设备执行iTunes备份，对有Root权限的Android设备执行物理采集，对非Root的Android设备执行逻辑采集。

u  提取数据包含通话记录、删除短信、电话簿和Whatsapp 等各类数据以及照片、视频等多媒体文件。

2020，5G时代来临，苹果公司会给我们带来怎样的惊喜呢？各大厂商又会在苹果设备取证领域如何各显神通呢？让我们拭目以待！

相关阅读

FTK国际版 V7.2软件发布

Oxygen Forensic Detective 12.2版本发布：六大亮点抢先看

不只是取证：BlackLight苹果分析软件助力汇丰银行大数据审查