第3部分：iOS研究的逐步工具指南（通过@bizzybarney）

这是Mac和iPhone设置过程的第三部分也是最后一部分！抱歉距离上一篇文章发布这么久，但迟到总比不到好？

本指南将帮助您在iOS设备上设置两个二进制文件，这些文件可以极大地协助定向测试和分析。我的目标是让您能够进行自己的研究和测试，以自信地回答在学习我们称之为DFIR的美丽舞蹈时肯定会遇到的问题。

下载iOS二进制文件

我已经制作了您需要的两个二进制文件并赋予了相应的权限，试图使这个过程尽可能简单，以便您进行测试！下面的链接将带您到一个包含’cda’和’fsmon’的.zip文件，两者都是Mach-O 64位ARM可执行文件。

‘cda’二进制文件帮助定位应用程序存储数据的位置！iOS将大多数应用程序数据存储在文件系统中随机生成的GUID后面，因此找到某个应用程序存储其用户数据的位置可能非常麻烦。这个二进制文件可以快速告诉我们需要注意的确切目录，并在几秒钟内完成。

‘fsmon’二进制文件是一个文件系统监视器。简单明了，它会在屏幕上打印文件系统中发生的变化。出于研究目的，这是无价的。

1. 点击此链接下载.zip文件
2. 在桌面上创建一个名为’binaries’的文件夹，并将.zip文件移动到此。解压缩，使两个二进制文件都在’binaries’文件夹中

连接到测试iOS设备

现在我们已经有了需要的文件，我们需要确保我们的iOS设备通过USB连接到我们的Mac，并且我们能够与之通信。

1. 在Mac上打开终端窗口。输入iproxy 4242 44并按回车
2. 按command+T打开一个新的终端标签页。在新标签页中，输入ssh root@127.0.0.1 -p 4242并按回车
3. 在连接到iPhone的shell中，输入pwd并按回车，然后输入ls -la并按回车

将二进制文件从Mac复制到iPhone

1. 从连接到iPhone的终端shell，按command+T再次打开一个新的终端标签页
2. 在新打开的Mac终端标签页中，输入：scp -P 4242 ~/Desktop/binaries/cda root@127.0.0.1:并按回车
3. 对’fsmon’重复相同的过程：scp -P 4242 ~/Desktop/binaries/fsmon root@127.0.0.1:
4. 将二进制文件复制到iPhone上的不同目录：cp ./cda /usr/bin/和cp ./fsmon /usr/bin/
5. 更改目录到/usr/bin/：cd /usr/bin/
6. 给二进制文件执行权限：chmod +x cda和chmod +x fsmon

关键时刻 - 二进制文件是否工作？

1. 输入cda safari并按回车
2. 要测试’fsmon’，输入fsmon /并按回车。按control+C停止它

实际应用示例

1. 安装Viber Messenger应用程序
2. 使用cda viber查找其数据存储路径
3. 使用fsmon监控数据路径：fsmon /private/var/mobile/Containers/Data/Application/FAE649F5-56EB-4859-A4FB-BD88616720DE
4. 使用tar通过SSH将Viber的数据和组目录提取到桌面：ssh root@127.0.0.1 -p 4242 'tar -cvf - <paste_path_to_Data> <paste_path_to_Group>' > ~/Desktop/Viber1.tar

您现在拥有归因于Viber的数据和组路径的所有文件和文件夹在桌面上。打开它并深入研究！您已成功提取这些文件，无需使用任何商业工具来提取您不需要或不关心的其他数据，并且可以在几秒钟内开始检查结果，无需等待任何冗长的解析过程！

如果您遵循了所有这些步骤并成功到达这里，恭喜！我知道这个设置很费时，特别是如果您刚开始使用CLI。