在做iOS安全分析时,有时需要了解整个文件系统运行状况、app安装详情,安装目录,沙盒目录等。因此则需要提取iOS文件系统镜像并做解析及分析。本文主要介绍提取iOS文件系统镜像及解析系统镜像。
一、iOS文件系统镜像提取
提取iOS文件系统镜像,用到的工具为iOS Forensic Toolkit。iOS Forensic Toolkit是一款专业的iOS系统取证工具。它支持32位和64位iOS设备的物理采集,支持锁屏和密钥串提取的逻辑采集,能够快速提取媒体文件和共享文件。但是根据使用测试,想要提取最详尽的iOS文件系统镜像,则要求需要有iOS设备的锁屏密码及iOS设备已经越狱,这样才能最详尽提取出iOS设备文件系统。本文就是基于我的iOS设备锁屏密码已知,并且已经越狱且安装完opensshiOS Forensic Toolkit软件安装,想测试安装使用iOS Forensic Toolkit,可以在公众号回复“forensic”获取下载链接
双击iOS Forensic Toolkit.msi,依次点击 next 配置安装目录后,即可安装成功,如下所示将要提取的iOS设备通过数据线连接到Windows电脑
运行iOS Forensic Toolkit
打开终端,进入上一步配置的iOS Forensic Toolkit安装目录,然后执行目录中的程序Toolkit.cmd,如下图所示
运行Toolkit.cmd后,即提示iOS Forensic Toolkit注册码有效,点击enter键继续,如下所示
输入iOS设备已经安装的ssh端口,因为我的iOS设备安装的是openssh因此端口为22,如果安装了其他ssh软件则需要输入对应的端口,点击enter键即可,如下所示
软件连接上iOS设备后,则会显示出各种提取功能,包括逻辑提取(Logical acquisition)、物理提取(Physical acquisition),如下所示
通过物理提取(Physical acquisition)选项中的“FILE SYSTEM”,最详尽提取iOS文件系统镜像。因为我的iOS设备没有锁屏,已经越狱,所以我选择了“FILE SYSTEM”这个最详尽的选项,如下所示
选择“FILE SYSTEM”后,点击enter键,则会提示设置存储提取出的文件名,我这里设置为iphoneDevice,设置完后则开始提取iOS文件系统,等待提取完即可,如下所示
二、解析iOS文件系统
通过iOS Forensic Toolkit提取完iOS设备文件系统镜像后,开始对该文件系统镜像进行解析。解析需要用到的工具为iLEAPP。iLEAPP能够将iOS文件系统镜像进行解析,并将解析后的结果生成html报告,使用浏览器打开查看即可,但是要求的镜像保存格式要为.tar或者.zip。我们上面提取到的iOS文件系统镜像保存的格式为.tar,因此刚好合适
下载iLEAPP,(如果下载慢,可以在公众号回复“iLEAPP”,进行百度云下载,如下所示
git clone https://github.com/abrignoni/iLEAPP.git
安装python3
因为安装iLEAPP需要python3环境,并且要求python3的版本>3.7,所以要先安装python3,安装完配置好python3的系统环境变量即可
安装iLEAPP,进入下载后的iLEAPP目录中,执行如下命令进行安装,如下所示
pip install -r requirements.txt
安装完iLEAPP后,则开始解析iOS文件系统镜像,通过如下命令对已经提取出来的iOS文件系统镜像进行提取,点击enter键即可,如下所示
执行ileapp.py程序,在后面添加对应参数
-t 表示 设置需要解析的文件系统镜像格式(我们设置为tar)
-o 表示 设置解析后保存的目录(我们设置为iOS Forensic Toolkit软件的安装目录,可以根据需要另外设置也可)
-i 表示 设置需要解析的文件系统镜像文件(我们提取出来的iphoneDevice.tar保存在iOS Forensic Toolkit软件的安装目录中,因此这次写上这个目录+iphoneDevice.tar文件名)
开始解析iOS文件系统镜像,我们需要等待一段时间即可,如下所示
生成解析报告,提示报告存储的位置,如下所示
进入解析报告目录中,查看文件,如下所示
点击任意一个html报告,如下所示10.查看到各种信息,如下所示