Elcomsoft iOS Forensic Toolkit 是市场上一款从 Apple TV、Apple Watch 和首代 HomePod 设备中提取信息的第三方工具。虽然专家可能会尝试为与 Apple Watch 配对的用户 iPhone 创建 iTunes 式备份，但如果 iPhone 被安全锁定，则本地备份可能不可用。即使 iPhone 被锁定或不可用，直接从 Watch 提取信息也可以访问信息。虽然 Apple Watch 不提供独立的 iTunes 式备份，但专家仍然可以访问崩溃日志和媒体文件，包括 EXIF 和位置数据。

1、连接手表需要第三方 IBUS 适配器

2、Apple Watch S0 至 S3 的 checkm8 提取

3、Apple Watch S0 至 S6 的逻辑收购

Apple TV 设备不支持 iTunes 式备份，但如果用户在其 iCloud 帐户中启用了 iCloud 照片，则可能包含用户整个 iCloud 照片库的本地副本。由于 Apple TV 不具有密码保护功能，因此即使用户的 iPhone 被锁定并且 iCloud 密码未知，也可以提取数据。 Apple TV 4 需要有线连接，Apple TV 4K 需要通过 Xcode 进行无线连接。

Apple TV 4K及较旧版本、Apple Watch S3 及较旧设备以及首代 HomePod 支持法医声音 checkm8 提取。可能需要定制适配器。

Elcomsoft iOS Forensic Toolkit 可以提取钥匙串项目，包括受 ThisDeviceOnly 属性保护的钥匙串项目，从而使调查人员能够访问高度敏感的数据，例如网站和其他资源（以及在许多情况下，Apple ID）的登录/密码信息。

在整个钥匙串获取过程中，设备必须保持解锁状态。 iOS Forensic Toolkit 实现了一个禁用自动屏幕锁定的工具。

通过 DFU、恢复和诊断模式获取有关锁定和禁用设备的信息。即使设备在 10 次解锁尝试失败后被锁定，或者 USB 限制模式被激活，您仍然可以将其切换到恢复或 DFU。借助 Elcomsoft iOS Forensic Toolkit，您可以提取有关设备的重要信息，包括设备型号标识符、ECID/UCID、序列号，以及在某些情况下的 IMEI 号码。此外，恢复模式还会返回有关引导加载程序版本的信息，这有助于确定 iOS 版本或设备上安装的 iOS 版本范围。

使用带有 ElcomSoft 固件的 Raspberry Pi Pico 板，可以自动执行一些原本耗时且劳动密集型的例程。

1、自动DFU

2、滚动截图

3、用于保护代理侧面加载的功能防火墙