iOS文件系统镜像提取与解析

原创
2020/05/30 23:47
阅读数 58

在做iOS安全分析时,有时需要了解整个文件系统运行状况app安装详情安装目录沙盒目录等。因此则需要提取iOS文件系统镜像并做解析分析。本文主要介绍提取iOS文件系统镜像解析系统镜像


一、iOS文件系统镜像提取

  1. 提取iOS文件系统镜像,用到的工具为iOS Forensic Toolkit。iOS Forensic Toolkit是一款专业的iOS系统取证工具。它支持32位和64位iOS设备的物理采集,支持锁屏和密钥串提取的逻辑采集,能够快速提取媒体文件和共享文件。但是根据使用测试,想要提取最详尽的iOS文件系统镜像,则要求需要有iOS设备的锁屏密码及iOS设备已经越狱,这样才能最详尽提取出iOS设备文件系统。本文就是基于我的iOS设备锁屏密码已知,并且已经越狱安装完openssh

  2. iOS Forensic Toolkit软件安装,想测试安装使用iOS Forensic Toolkit,可以在公众号回复“forensic”获取下载链接


    双击iOS Forensic Toolkit.msi,依次点击 next 配置安装目录后,即可安装成功,如下所示


  3. 将要提取的iOS设备通过数据线连接到Windows电脑


  4. 运行iOS Forensic Toolkit

    打开终端,进入上一步配置的iOS Forensic Toolkit安装目录,然后执行目录中的程序Toolkit.cmd,如下图所示


    运行Toolkit.cmd后,即提示iOS Forensic Toolkit注册码有效,点击enter键继续,如下所示


    输入iOS设备已经安装的ssh端口,因为我的iOS设备安装的是openssh因此端口为22,如果安装了其他ssh软件则需要输入对应的端口,点击enter键即可,如下所示


    软件连接上iOS设备后,则会显示出各种提取功能,包括逻辑提取(Logical acquisition)、物理提取(Physical acquisition),如下所示


    通过物理提取(Physical acquisition)选项中的“FILE SYSTEM”,最详尽提取iOS文件系统镜像。因为我的iOS设备没有锁屏,已经越狱,所以我选择了“FILE SYSTEM”这个最详尽的选项,如下所示


    选择“FILE SYSTEM”后,点击enter键,则会提示设置存储提取出的文件名,我这里设置为iphoneDevice,设置完后则开始提取iOS文件系统,等待提取完即可,如下所示


二、解析iOS文件系统

  1. 通过iOS Forensic Toolkit提取完iOS设备文件系统镜像后,开始对该文件系统镜像进行解析。解析需要用到的工具为iLEAPP。iLEAPP能够将iOS文件系统镜像进行解析,并将解析后的结果生成html报告,使用浏览器打开查看即可,但是要求的镜像保存格式要为.tar或者.zip。我们上面提取到的iOS文件系统镜像保存的格式为.tar,因此刚好合适


  2. 下载iLEAPP,(如果下载慢,可以在公众号回复“iLEAPP”,进行百度云下载,如下所示

    git clone https://github.com/abrignoni/iLEAPP.git


  3. 安装python3

    因为安装iLEAPP需要python3环境,并且要求python3的版本>3.7,所以要先安装python3,安装完配置好python3的系统环境变量即可


  4. 安装iLEAPP,进入下载后的iLEAPP目录中,执行如下命令进行安装,如下所示

    pip install -r requirements.txt


  5. 安装完iLEAPP后,则开始解析iOS文件系统镜像,通过如下命令对已经提取出来的iOS文件系统镜像进行提取,点击enter键即可,如下所示

    执行ileapp.py程序,在后面添加对应参数

    -t 表示 设置需要解析的文件系统镜像格式(我们设置为tar)

    -o 表示 设置解析后保存的目录(我们设置为iOS Forensic Toolkit软件的安装目录,可以根据需要另外设置也可)

    -i 表示 设置需要解析的文件系统镜像文件(我们提取出来的iphoneDevice.tar保存在iOS Forensic Toolkit软件的安装目录中,因此这次写上这个目录+iphoneDevice.tar文件名)


  6. 开始解析iOS文件系统镜像,我们需要等待一段时间即可,如下所示


  7. 生成解析报告,提示报告存储的位置,如下所示


  8. 进入解析报告目录中,查看文件,如下所示


  9. 点击任意一个html报告,如下所示


10.查看到各种信息,如下所示


公众号二维码


本文分享自微信公众号 - 网络安全技术点滴分享(gh_c85d6ae14603)。
如有侵权,请联系 support@oschina.cn 删除。
本文参与“OSC源创计划”,欢迎正在阅读的你也加入,一起分享。

展开阅读全文
打赏
0
0 收藏
分享
加载中
更多评论
打赏
0 评论
0 收藏
0
分享
返回顶部
顶部