如果我处于你的位置，我会获取单个移动设备的完整图像，以使用另一个独立系统对图像进行取证分析，因为……

1. 您不必在相关的移动设备上安装任何东西，因为您可以使用您喜欢/想要/需要的任何工具分析其他系统上的设备映像。
2. 您可以根据需要修改（在“清理可疑和/或恶意数据”的意义上）图像，并将检查和清理的图像推送回单个移动设备。
3. 您拥有移动设备的图像，如果需要，可以用作法医证据和法律证据。

如果您不知道如何创建和分析此类设备映像，但几乎可以肯定这些设备确实受到了威胁，那么是时候从信息安全专家那里获得专业帮助了……在这种情况下，您最好的选择是法医分析师。

此外，由于您描述的情况可能涉及商业环境（工作/公司），因此您还应该寻求法律建议，以防您真正设法识别出入侵您设备的人。

您可能知道，政府机构和机构（包括“正规警察”）可以接触到法医分析师等专家。最有可能的是，当涉及到“获得证据”和“捍卫您的权利”（在法律意义上）时，它们是您的最佳选择。

上述方法很有可能在不产生太大影响的情况下关闭安全问题的循环，同时在法律后果开始对您变得重要时为您提供良好的立场。

编辑

以下信息将对您有用：

• SANS：中小型企业的事件处理流程(PDF)
• SANS：取证计划指南(PDF)

无论您做什么，都不要破坏或修改数字证据。这就是为什么我建议法医分析师而不是自己进行研究和分析。老实说——如果你接受过数字取证方面的培训，你一开始就不会问这个问题。相反，您将应用事件管理的 6 个阶段……

1. 准备
2. 鉴别
3. 遏制
4. 根除
5. 恢复
6. 训练

…使用适当的程序和工具。

编辑

由于评论谈论 iPhone 和 iPad 成像，我想指出，当我谈论用于取证目的的成像时，我指的是适合分析师个人需求和目的的“专业数字取证软件” 。

这是我将在 iPhone/iPad 上使用（取决于情况和需要）的当前可用工具的列表：

• 黑袋科技Mobilyze
• Cellebrite UFED
• EnCase Neutrino
• FTS iXAM
• iPhone 分析仪
• iphone-dataprotection
  ~ 一组可以对 iPhone 进行映像和解密的工具。这些工具甚至可以暴力破解 iPhone 的 4 位数字密码。
• iOS 取证研究（仅适用于执法部门！）
  ~ 其中，Jonathan Zdziarski 发布了可以对 iPhone、iPad 和 iPod Touch 进​​行成像的工具。
• 武士刀取证灯笼
• libimobiledevice
  ~ 一个包含用于备份 iPhone 的实用程序的库。输出格式是 iTunes 风格的备份，可以使用传统工具进行检查。它们在 Debian 测试包 libimobiledevice 和 libimobiledevice-utils 中可用。
• Logicube CellDEK
• 麦克洛克挑选
• 微系统.XRY
• 移动同步浏览器
• Nuix Desktop and Proof Finder
  ~ 可以检测和分析来自 iOS 和 iPhone 的许多数据库并可以直接摄取 HFSX dd 图像的工具。
• 氧气法医套件 2010
• 对羟基苯甲酸酯装置扣押
• 间谍电话

我不会列出适用于 Android、Blackberry 和其他移动设备的适当工具，它们都有自己的取证工具集。我相信您并不真的需要工具列表，因为任何取证专家都知道它们。如果您不这样做，那么您还不是数字取证专业人士……但是。

现在，如果你想更深入地研究数字取证，你应该看看

• http://www.forensicswiki.org/wiki/Main_Page

它为没有在该领域受过教育的人提供了一些非常好的提示信息。

此外，您应该阅读一些有关该主题的书籍，例如“iPhone 和 iOS 取证”。

如果您在阅读了十几本书并在自己的设备上尝试之后仍然对数字取证感兴趣，我建议您联系相应的数字取证教育。这是一个有趣的领域，当我说“它永远不会无聊”时，你可以相信我。

最简单的方法是禁用蜂窝调制解调器并将它们留在 wifi 上。然后，您可以监视他们为连接到意外服务器的任何内容所做的连接。这将比尝试访问蜂窝流量要容易得多。