介绍ios_apt - iOS取证解析工具
ios_apt是mac_apt框架的新成员,它不是一个独立项目,而是作为mac_apt框架的一部分,充当处理iOS/iPadOS取证数据的启动脚本。
为什么需要另一个iOS解析工具?
除了商业工具外,我们已经有iLEAPP、APOLLO等工具,而且我还是其中一些工具的积极贡献者。ios_apt并非要与它们竞争,而是利用mac_apt框架来避免重复工作。
iOS和macOS上的许多取证数据共享相同的后端数据库、配置和数据类型。几乎完全相同的数据类型包括:
- Spotlight
- 统一日志
- 网络使用数据库
- 网络相关数据(如硬件信息和最后IP租约)
- Safari
- Notes
- FSevents
- ScreenTime
还有其他一些未在此列出的数据类型。由于mac_apt已经能够解析所有这些数据,因此创建一个专门处理iOS提取数据的ios版本是合理的。
此外,这些数据中的许多都相当复杂,其他开源工具缺乏处理它们所需的架构。APOLLO仅从SQLite数据库收集信息。iLEAPP则侧重于每个插件解析单一数据类型。它并非为多层解析而设计,在这种解析中,从一个数据/文件解析出的信息可能被用作跳转到磁盘上其他数据的键。
限制
在其第一个版本中,ios_apt仅适用于提取到文件夹的完整文件系统镜像。尚不支持zip/tar/dar/7z/其他存档格式。
可用插件/模块
目前可用的插件包括:
- APPS
- BASICINFO
- FSEVENTS
- NETUSAGE
- NETWORKING
- NOTES
- SAFARI
- SCREENTIME
- SPOTLIGHT
- TERMSESSIONS
- WIFI
下载最新版本的mac_apt即可获得ios_apt。