运行iOS Forensic Toolkit

打开终端，进入上一步配置的iOS Forensic Toolkit安装目录，然后执行目录中的程序Toolkit.cmd，如下图所示

image

运行Toolkit.cmd后，即提示iOS Forensic Toolkit注册码有效，点击enter键继续，如下所示

image

输入iOS设备已经安装的ssh端口，因为我的iOS设备安装的是openssh因此端口为22，如果安装了其他ssh软件则需要输入对应的端口，点击enter键即可，如下所示

image

image

软件连接上iOS设备后，则会显示出各种提取功能，包括逻辑提取（Logical acquisition）、物理提取（Physical acquisition），如下所示

image

通过物理提取（Physical acquisition）选项中的“FILE SYSTEM”，最详尽提取iOS文件系统镜像。因为我的iOS设备没有锁屏，已经越狱，所以我选择了“FILE SYSTEM”这个最详尽的选项，如下所示

image

选择“FILE SYSTEM”后，点击enter键，则会提示设置存储提取出的文件名，我这里设置为iphoneDevice，设置完后则开始提取iOS文件系统，等待提取完即可，如下所示

image

image