Forensic Toolkit

Elcomsoft bringt neues Forensic Toolkit-Update: Mehr Tiefe und Tempo in der iOS-Datenanalyse

, Elcomsoft | Autor: Herbert Wieler

Elcomsoft bringt neues Forensic Toolkit-Update: Mehr Tiefe und Tempo in der iOS-Datenanalyse

Elcomsoft iOS Forensic Toolkit 8.80: Direkter Zugriff auf Dateien und Apple Unified Logs

Mit Version 8.80 bringt Elcomsoft ein wichtiges Update für sein iOS Forensic Toolkit auf den Markt. Erstmals ermöglicht das Tool den direkten Zugriff auf Apple Unified Logs – eine bislang kaum genutzte, aber äußerst wertvolle Datenquelle für forensische Analysen auf iOS-Geräten. Gleichzeitig wurde der erweiterte Dateizugriff überarbeitet: Dateien lassen sich jetzt schneller und gezielter extrahieren, ohne dass komplette Images erstellt werden müssen. Auch die Verarbeitung von Absturzprotokollen und Mediendateien läuft spürbar flotter.

Apple Unified Logs: Ein unterschätzter Datenschatz

Elcomsoft iOS Forensic Toolkit 8.80
Elcomsoft iOS Forensic Toolkit 8.80

Mit der neuen Version öffnet Elcomsoft den direkten Zugriff auf die Apple Unified Logs – eine strukturierte Sammlung von System- und Benutzeraktivitäten, die kontinuierlich auf iOS-, watchOS-, macOS- und tvOS-Geräten aufgezeichnet werden.

Während klassische Sysdiagnose-Protokolle lediglich Momentaufnahmen des Systemzustands liefern, bieten Unified Logs eine laufende Chronik von Ereignissen über einen längeren Zeitraum. Für die digitale Forensik bedeutet das: mehr Kontext, tiefere Einblicke und präzisere Rekonstruktionen von Benutzeraktionen und Systemereignissen. Frühere Versionen des iOS Forensic Toolkits konnten nur auf Logdaten zugreifen, die in Sysdiagnose-Dateien enthalten waren – in der Regel also die letzten 24 Stunden. Mit der Unterstützung der Apple Unified Logs lassen sich nun auch länger zurückliegende Systemaktivitäten nachvollziehen, was den forensischen Erkenntnisgewinn erheblich erweitert.

Weitere technische Details und praxisnahe Tipps zur Analyse finden sich im englischsprachigen Blogbeitrag von Elcomsoft: Extracting and Analyzing Apple Sysdiagnose Logs .

Schnelleres Auslesen von Logs und Mediendaten durch Multithreading

Auch in puncto Performance legt Version 8.80 deutlich zu: Dank Low-Level-Optimierungen und Multithreading-Unterstützung läuft die Extraktion von Sysdiagnose-Protokollen und Mediendateien jetzt mehrfach schneller als in früheren Versionen. Das beschleunigt vor allem umfangreiche Analysen auf Dateisystemebene.

Weitere Verbesserungen im Detail

Neben den großen Neuerungen bringt das Update eine Reihe zusätzlicher Optimierungen:

  • Bessere Unterstützung älterer 32-Bit-Geräte: Optimierte Erfassungsmechanismen sorgen für mehr Stabilität, auch bei seltenen Modell-/iOS-Kombinationen.
  • Erweiterte Kompatibilität: checkm8-Unterstützung jetzt auch für iOS 15 (15.8.5) und iOS 16 (16.7.12).
  • Neues Windows-Tool: Ein kostenloses Dienstprogramm erleichtert das Auslesen extrahierter HFS-Images.
  • Verbesserter Extraktionsagent: Stabilere Installation und zuverlässiger Betrieb.

Versionsübersicht iOS Forensic Toolkit 8.80

  • Neu: Direkter Zugriff auf Apple Unified Logs
  • Schneller: Optimierte Erfassung von Mediendateien und Diagnose-Protokollen
  • Komfortabler: Neues Windows-Tool für HFS-Images
  • Stabiler: Verbesserter Extraktionsagent
  • Kompatibler: Mehr Geräte- und iOS-Unterstützung, inklusive checkm8 für iOS 15.8.5 und 16.7.12