Elcomsoft 手机取证套件系列报道：二、掀开iCloud的面纱，Elcomsoft Phone Breaker

iCloud于2009年上市以来，现在已经可以说深入人心，特别是“找回我的iPhone”功能，各大厂家也都纷纷效仿，但另一个方面，由于iCloud造成的各种照片泄漏事件也是沸沸扬扬，相信很多用户同我一样，都是开启了iCloud但关闭了照片自动上传，这样是否能做到万无一失呢？今天小编就利用我们最新版本的Elcomsoft Phone Breaker软件，来针对iCloud账户进行实际测试，尝试在最新的取证版软件力量下，掀开iCloud的面纱。

测试账户：iCloud 账户下有iPad两台，iPhone7一部

账户密码：已知，8位长度包含大小写字母+数字

手机系统：iOS:13.3

iCloud两步验证：开启

提取工具：ElcomSoft Phone Breaker 9.40

提取电脑1：win10

提取电脑2：MAC

测试过程：

1.、打开主程序，我们可以很清晰看到最新版本的Elcomsoft Phone Breaker软件主要功能：

如上图所示，支持本地iTunes加密备份破解，支持全版本13.3测试验证通过。

支持iTunes备份中和iCloud备份中钥匙串的解密，同时支持导出windows系统中保存的相关登录苹果iCloud密钥令牌。这部分不是本文的重点就不在赘述。

2、上图界面右侧就是本文也是大家关心的iCloud下载包含内容项目。可以一目了然的看到，可以下载6类数据，分别是云端备份，文件，照片，同步数据，钥匙串和加密文件令牌。我们将逐一进行测试。

3、每个下载功能都会用到统一的苹果iCloud2步认证过程，在此统一说明。

iCloud 打开2步认证的时候，每次登录iCloud都会触发，在设备上显示登录请求，并返回验证码，前提是设备必须联网。Elcom Phone Breaker内置的登录iCloud登录，输入iCloud用户名邮箱和iCloud密码后，也会触发。

得到验证码后，就可以输入到程序中进行2步验证。整个登录过程1分钟左右即可完成验证。

4.、备份与同步数据测试

目前由于iCloud机制限制，最新版本ElcomSoft Phone Breaker只能在windows平台下载iCloud存储的备份文件和同步数据，其余需要在MAC平台才能获取。这也是为什么要增加MAC测试平台的原因。补充一句，CheckRa1n越狱也需要MAC系统，看来以后MAC工作站是电子取证的标配硬件。