Apple Face ID: Security Implications and Potential Vulnerabilities Apple的Face ID自2017年推出以来广受欢迎，尽管存在双胞胎或家人解锁等局限性。经过多次安全测试和学术研究显示，尽管存在理论上的漏洞，但在现实中的成功案例有限。苹果通过硬件和软件改进增强了系统安全性，在执法调查中难以绕过生物识别认证。... 2025-9-23 16:47:46 | 阅读: 13 | 收藏 | ElcomSoft blog - blog.elcomsoft.com implication liveness faces biometric

Analyzing the Windows SRUM Database Windows系统中隐藏的SRUM数据库（System Resource Usage Monitor）记录了过去30天的应用使用和网络活动信息，是取证调查的重要数据源。该数据库位于%WinDir%\System32\sru\SRUDB.dat中，采用ESE格式存储。它详细记录了应用启动时间、网络连接详情（包括IP地址和端口）等信息，并可通过专用工具如srum-dump或Elcomsoft System Recovery提取分析。... 2025-8-15 07:59:34 | 阅读: 20 | 收藏 | ElcomSoft blog - blog.elcomsoft.com srum database windows network

Perfect Acquisition Part 5: Perfect APFS Acquisition 本文介绍了一种针对APFS文件系统的完美获取方法，并扩展了对Apple Watch S0设备的支持。通过分析APFS加密机制和开发专用工具，实现了对设备数据的完整解密和分析。... 2025-7-21 11:56:52 | 阅读: 9 | 收藏 | ElcomSoft blog - blog.elcomsoft.com apfs acquisition eift passcode s0

Issues Affecting Forensic Disk Imaging 磁盘成像中速度和准确性受限的主要原因包括硬件配置失衡、系统性能不足、软件设置不当及目标驱动器瓶颈。这些问题可能导致速度下降甚至数据错误。作者团队正在开发新工具以优化性能和稳定性。... 2025-7-10 12:33:6 | 阅读: 11 | 收藏 | ElcomSoft blog - blog.elcomsoft.com imaging drives hardware matters blockers

AI-Driven Password Recovery: Myth or Reality? 人工智能在密码破解中的应用虽有潜力，但受限于数据质量、缺乏个性化和文化差异等因素，在实际应用中效果不佳。未来需结合用户特定信息进行深度定制化开发。... 2025-7-8 09:38:43 | 阅读: 16 | 收藏 | ElcomSoft blog - blog.elcomsoft.com passwords trained rates llms encryption

Installing and Troubleshooting the Extraction Agent (2025) 本文介绍了iOS Forensic Toolkit提取代理的功能、安装步骤及故障排除方法。提取代理是一款轻量级iOS应用，通过利用已知漏洞提升权限并访问文件系统和密钥链。文章整合了最新的安装指南，并提供了常见问题解决方案及注意事项。... 2025-7-2 14:26:31 | 阅读: 19 | 收藏 | ElcomSoft blog - blog.elcomsoft.com developer sideloading keychain eift

Extracting and Analyzing Apple Unified Logs 文章探讨了苹果统一日志系统在数字取证中的重要性，该系统记录了设备活动的详细信息，包括生物识别事件、应用行为和系统状态变化。通过特定工具提取和分析这些日志，可以揭示用户行为和设备使用情况，在传统数据源不可用时提供关键证据。... 2025-6-27 12:15:39 | 阅读: 15 | 收藏 | ElcomSoft blog - blog.elcomsoft.com unified sysdiagnose artifacts ileapp adapter

The 16 Billion Passwords Panic: What Really Happened and Why It Matters (Or Doesn’t) 2025年6月报道的160亿密码泄露事件实为旧数据汇总，缺乏新信息。大规模密码泄露对实际密码恢复作用有限，有效恢复需结合用户行为、环境及定制化规则。... 2025-6-23 18:34:47 | 阅读: 14 | 收藏 | ElcomSoft blog - blog.elcomsoft.com passwords dates mutation wordlists habits

Apple Ecosystem: Overlooked Devices 苹果生态系统中的设备（如Apple Watch、Apple TV、HomePod和iPod Touch）可能存储有价值的数据（如活动日志、Wi-Fi密码、照片等），但提取难度因设备和型号而异。部分设备支持低级访问（如checkm8漏洞），而 newer设备仅限逻辑提取或无法访问。是否值得分析取决于数据对调查的价值。... 2025-6-18 14:35:11 | 阅读: 8 | 收藏 | ElcomSoft blog - blog.elcomsoft.com checkm8 passcode keychain passwords synced

What TRIM, DRAT, and DZAT Really Mean for SSD Forensics 文章探讨了TRIM命令对SSD数据恢复的影响。TRIM由操作系统发出，通知SSD释放不再使用的存储块。现代SSD通常支持DRAT或DZAT模式，在TRIM后返回一致的结果（如零），这使数据难以通过常规方法恢复。法证专家需了解SSD行为及TRIM模式以确保数据完整性。... 2025-6-2 12:55:0 | 阅读: 21 | 收藏 | ElcomSoft blog - blog.elcomsoft.com trim ssds raid dzat sdx

iOS Extraction Tip: Why Start with Recovery Mode? 在对苹果设备进行取证时，进入设备模式的顺序至关重要。直接进入DFU模式可能并非最佳选择，而先切换至恢复模式更具优势。恢复模式更易操作且能减少数据变化风险、缩短延迟，并确保设备稳定。... 2025-5-30 04:13:36 | 阅读: 17 | 收藏 | ElcomSoft blog - blog.elcomsoft.com dfu checkm8 entering extractions passcode

Why Every Digital Forensics Lab Needs a Good USB Hub 文章指出，在现代数字取证中，USB集线器是关键工具，可解决笔记本电脑（如MacBook）USB-C端口不足问题，并提升设备兼容性和稳定性。它尤其适用于需要通过USB-A接口运行checkm8提取iPhone数据的场景。选择支持USB 3.2 Gen 2、具备足够USB-A和USB-C端口的高质量集线器至关重要。... 2025-5-23 07:15:52 | 阅读: 22 | 收藏 | ElcomSoft blog - blog.elcomsoft.com hubs adapters blockers cable checkm8

Installing iOS Forensic Toolkit on Linux iOS Forensic Toolkit的Linux版本现支持checkm8启动级别获取、Apple ID代理安装及Apple Watch无线分析等功能，与macOS版本持平。安装需注意兼容性及解压方式。... 2025-5-22 02:15:18 | 阅读: 9 | 收藏 | ElcomSoft blog - blog.elcomsoft.com eift windows acquisition unzip checkm8

The Linux Edition Goes Live iOS Forensic Toolkit 的 Live Linux 版本为调查人员提供了一种无需 macOS 的解决方案，支持通过 checkm8 漏洞进行 bootloader 级别数据提取。该版本适用于基于旧芯片的 Apple 设备，并支持无线适配器连接 Apple Watch。系统要求包括 Intel 或 AMD CPU 和 2GB RAM。... 2025-5-20 13:46:55 | 阅读: 7 | 收藏 | ElcomSoft blog - blog.elcomsoft.com extractions editions windows checkm8 download

Breaking into the Ecosystem: How One Weak Link Can Unlock a Secure Device 文章探讨了如何通过生态系统中的弱点破解加密智能手机。通过收集低垂果实（如浏览器密码、旧设备等），结合工具和策略，可以绕过直接攻击手机的困难。备份、云端数据和智能设备间的关联成为关键突破口。... 2025-5-19 11:17:50 | 阅读: 11 | 收藏 | ElcomSoft blog - blog.elcomsoft.com passcode passwords microsoft backup tvs

iOS Forensic Toolkit Now Supports All Models of Apple Watch iOS Forensic Toolkit更新支持从Apple Watch Series 6到Series 10、SE2、Ultra和Ultra 2进行逻辑提取，通过有线或无线适配器获取媒体文件、日志和元数据。... 2025-5-15 07:59:4 | 阅读: 4 | 收藏 | ElcomSoft blog - blog.elcomsoft.com adapter ultra adapters acquisition newer

Extraction Agent: Offline Extraction with All Developer Accounts Elcomsoft iOS Forensic Toolkit 8.70 解决了低级提取代理的安装和使用问题，允许用户完全离线使用任何 Apple 开发者账户进行安装和运行。这一改进简化了法证工作流程并降低了设备连接互联网带来的风险。... 2025-5-15 07:58:36 | 阅读: 6 | 收藏 | ElcomSoft blog - blog.elcomsoft.com developer sideloading enrolled acquisition limitations

Microsoft Goes Passwordless: Forensic Implications of Passwordless Microsoft Accounts 微软宣布新创建的Microsoft账户将默认无密码登录,采用PIN、生物识别和密钥替代传统密码,提升安全性但带来数字取证挑战.... 2025-5-14 15:58:4 | 阅读: 6 | 收藏 | ElcomSoft blog - blog.elcomsoft.com microsoft windows passwords

Forensic Implications of BitLocker-by-Default in Windows 11 24H2 Windows 11 24H2更新默认启用BitLocker全盘加密，默认覆盖更多设备；这对数字取证带来挑战；只有新安装受影响；升级系统不受影响。... 2025-5-8 07:33:16 | 阅读: 12 | 收藏 | ElcomSoft blog - blog.elcomsoft.com windows encryption bitlocker microsoft 24h2

What’s New in Elcomsoft System Recovery 8.34: More Data, Faster Imaging, BitLocker Key Extraction Elcomsoft System Recovery 8.34新增支持800多种文件系统数据项，优化磁盘镜像性能，并加入Active Directory环境下BitLocker恢复密钥提取功能。... 2025-4-29 07:59:37 | 阅读: 18 | 收藏 | ElcomSoft blog - blog.elcomsoft.com windows esr bitlocker imaging analysis