在当今的数字时代，从移动设备中提取数据是取证调查中的一个重要方面。然而，数据提取务必仔细准确地进行，以确保尽可能高的准确性和可靠性。为此，调查人员应以正确的顺序、并使用适当的提取方法，同时应考虑运行特定版本操作系统的设备的所有可用选项。那么，提取iPhone的最佳顺序是什么呢？

如果设备支持提取，Checkm8提取应是首选。如果可以提取成功，请不要使用任何其他提取方法（云提取除外）。

优先考虑checkm8作为第一种提取方法的原因是，它是我们的提取工具支持的唯一适用取证的提取方法。通过使用checkm8，不改变设备的内容，后续提取将与第一次提取相同，这可以通过匹配校验和进行验证。相反，使用任何其他提取方法将导致无法避免的数据分区更改，从而导致后续提取不再100%相同。

接下来，考虑使用提取代理。如果可以提取成功，请不要使用任何其他提取方法（云提取除外）。

将提取代理作为checkm8之后的下一个最佳方法的原因是，它是一个安全可靠的选项，可以提取完整文件系统镜像并解密所有钥匙串记录（包括无法通过分析本地备份解密的内容）。

如果设备同时与checkm8和提取代理兼容，建议先使用checkm8。但是，如果提取代理支持设备上安装的操作系统版本，则应改用它。如果checkm8和提取代理均不受支持，则建议使用逻辑提取方法。、

即使您不知道备份密码，也可以进行本地备份。

建议先“按原样”创建设备的备份，以保留其原始状态。如有必要，可以在设备设置中重置备份密码。但是，重置备份密码可能会对取证工作产生严重的影响，例如删除屏幕锁定密码。这反过来又会影响设备对iCloud的信任，并阻止访问用于云提取的端到端加密数据。此外，某些类型的数据（如Apple Pay数据和交易历史记录）可能会从设备中删除。如果没有备用密码，则可以分配临时备份密码“123”来访问无法访问的数据类型，如钥匙串。

执行扩展逻辑提取的原因是，即使设置了备份密码，也可以提取其他类型的数据。例如，使用“高级逻辑”过程提取媒体文件不仅会返回媒体文件本身，还会提供详细的元数据。该元数据可用于获取有关提取的媒体文件的详细信息，例如相册名称、人像和物品识别结果、位置数据和模式。此外，元数据可能包含有关设备上不再存在的已删除媒体的信息。因此，进行扩展逻辑提取可以产生更全面的结果，使其成为数据提取的首选方法之一。

我们强烈建议在遇到受未知密码保护的备份时执行风险评估。如果无法通过暴力破解或字典攻击恢复密码，您可以使用“设置”应用程序中的“重置所有设置”命令执行软重置，该命令也会删除备份密码。但是，请务必注意，重置备份密码也会导致删除屏幕锁定密码，这可能会对取证工作带来重大的影响。重置备份密码后，重复逻辑提取过程以获取备份中存储的数据。

请注意，通过暴力或字典攻击恢复备份密码的几率很低，因为Apple用于备份的加密非常强大，即使使用强大的GPU加速器，也可能需要很长时间才能破解。鉴于本地备份可能包含有价值的证据，因此在密码恢复之前，必须用尽所有可用选项。

Apple提供了迄今为止最先进的解决方案，用于在隶属公司生态系统的设备之间备份、恢复、传输和同步数据。Apple iCloud可以存储云备份和媒体文件，在Apple设备之间同步基本信息，并保持高度敏感的信息（如运行状况和身份验证凭据）安全同步。

Apple iCloud包含属于多个不同类别的信息，需要不同的凭据才能访问其中一些数据。

对于备份和同步数据，您将需要以下所有内容：

·用户的Apple ID和密码。

·一种通过双重身份验证的方法（您可以使用用户的受信任设备之一或具有受信任电话号码的SIM卡）。

要访问端到端加密数据，包括包含用户存储密码的iCloud钥匙串，除了上述凭据外，您还需要以下内容：

·用户的一个受信任设备的密码或屏幕锁定密码。

结论

当涉及到从Apple设备获取证据时，按正确的顺序、使用正确的提取方法对于确保结果可靠性至关重要。

如果设备兼容，请使用checkm8提取方法。这是获取数据的途径中唯一适用于取证的方式，使用它不会改变设备的内容。

如果不能使用checkm8，请考虑使用提取代理的另一个低级采集选项。此操作将返回完整的文件系统镜像和访问钥匙串记录，甚至是那些无法通过分析本地备份的记录。

如果这些都不起作用，请诉诸逻辑提取。请务必先“按原样”创建设备的备份，然后尝试重置备份密码以访问数据。接下来是扩展逻辑提取，因为即使设置了备份密码，它也可以提取其他类型的数据。

如果您正在处理未知的备份密码，首先，请尝试暴力或字典攻击来恢复它，但其被破解的可能性很低。如果所有其他方法都失败了，您可以随时进行软重置并重新开始。

您可以随时尝试云提取，但请注意，该方法存在一些风险。

总体而言，遵循这些准则将帮助您准确可靠地获取数据，并且不会损坏或更改数据。