第3部分：iOS研究逐步工具指南（通过@bizzybarney）

这是Mac和iPhone设置过程的第三部分也是最后一部分！抱歉距离上一篇文章发布延迟了很长时间，但晚到总比不到好，对吧？

本指南将帮助您在iOS设备上设置两个二进制文件，这些文件可以极大地协助针对性测试和分析。我的目标是让您能够进行自己的研究和测试，以自信地回答在学习我们称之为DFIR的美丽舞蹈时肯定会遇到的问题。

下载iOS二进制文件

我已经制作了您需要的两个二进制文件并赋予了适当的权限，试图使这个过程尽可能简单，以便您进行测试设置！下面的链接将带您到一个包含"cda"和"fsmon"的.zip文件，两者都是Mach-O 64位ARM可执行文件。

“cda"二进制文件帮助定位应用程序存储数据的位置！iOS将大多数应用程序数据存储在文件系统中随机生成的GUID后面，因此找到某个应用程序存储其用户数据的位置可能非常麻烦。这个二进制文件可以快速告诉我们需要注意的确切目录，并在几秒钟内完成。

“fsmon"二进制文件是一个文件系统监视器。简单明了，它会在屏幕上打印文件系统中发生的变化。对于研究目的来说，这是无价的。

1. 点击此链接下载.zip文件
2. 现在您已经有了二进制文件，为了简单起见，我们将把它们放在桌面的一个文件夹中。在桌面上创建一个名为"binaries"的文件夹，并将.zip文件移动到那里。解压缩它，使两个二进制文件都在"binaries"文件夹中

连接到测试iOS设备

现在我们已经有了需要的文件，我们需要确保我们的iOS设备通过USB连接到我们的Mac，并且我们能够与之通信。

我的测试设备是运行iOS 14.2的iPhone X（A1865），使用checkra1n越狱。

1. 在Mac上打开终端窗口。输入iproxy 4242 44并按回车
2. 仍然在终端窗口中工作，按command+T在键盘上打开一个新的终端标签页。在新标签页中，输入ssh root@127.0.0.1 -p 4242并按回车
3. 在连接到iPhone的shell标签页中，输入pwd并按回车，它将显示您当前的目录或"打印工作目录”。现在输入ls -la并按回车以列出您当前所在目录中的文件

将二进制文件从Mac复制到iPhone

1. 从连接到iPhone的终端shell中，再次按command+T打开一个新的终端标签页。这个新标签页是您Mac上的shell，不是iPhone。点击新打开的Mac终端标签页，输入以下内容：scp -P 4242 ~/Desktop/binaries/cda root@127.0.0.1:然后按回车
2. 要超级额外确定它工作了，您可以检查iPhone上存在的文件列表。点击进入作为iPhone shell的终端标签页。再次输入ls -la并按回车
3. 点击回到我们刚刚用来发送"cda"文件到iPhone的Mac终端标签页。我们只是重复刚才做的相同事情，但这次是针对"fsmon”。输入scp -P 4242 ~/Desktop/binaries/fsmon root@127.0.0.1:并按回车
4. 如果第一个成功了，这个应该也能很干净地工作，但让我们检查一下以确保。点击进入作为iPhone shell的终端标签页。输入ls -la并按回车
5. 接下来我们要做的是将这些二进制文件复制到iPhone上的不同目录。假设您严格按照说明操作，您应该仍然在iPhone上的/var/root目录中，这是两个二进制文件应该在的地方。在该shell中，输入cp ./cda /usr/bin/并按回车。让我们快速对fsmon做同样的事情，输入cp ./fsmon /usr/bin/并按回车
6. 现在我们已经将它们复制到/usr/bin/目录，让我们去那里检查一下。要更改目录，我们将使用"cd"，然后简单地输入我们想去的地方。输入cd /usr/bin/并按回车。然后让我们检查这个目录并确保我们的文件正确复制到这里。输入ls -la并按回车，您应该在这里看到一个更长的文件列表，但要确保您看到"cda"和"fsmon"
7. 好的，我们现在有了我们想要的二进制文件，但我们必须给它们在设备上执行的权限。输入chmod +x cda并按回车，然后输入chmod +x fsmon并按回车

真相时刻 - 二进制文件工作吗？

我们将从"cda"开始，因为它将告诉我们需要运行"fsmon"来监视活动的目录。

1. 输入cda safari并按回车。我选择Safari是因为几乎所有您可能进行此操作的iOS设备都有它，并且应该产生结果
2. 好的，我们继续到一个使用"cda"适当利用"fsmon"来"完成工作"的针对性示例！但是，我们首先必须确保"fsmon"能为我们工作。这个二进制文件使用简单，我们只需要启动它并告诉它我们想要监视哪个目录
3. 为了确保它工作，输入fsmon /并按回车。这是在文件系统的根目录上运行文件系统监视器

现在我将引导您完成使用这些二进制文件来定位特定数据的一种方法，然后我们将把这些数据从iPhone提取到我们的桌面。

1. 我选择安装应用程序Viber Messenger：Chats & Calls，并将使用"cda"告诉我它存储数据的位置，然后使用"fsmon"尝试查看特定操作的结果
2. 在连接到iPhone的shell中，输入cda viber并按回车。我看到Viber返回了其Bundle的路径，所有应用程序都会这样。它有一个Data路径，所有应用程序都会有，但还有一个我需要关注的Group路径
3. 对于我的Viber安装，Data路径是/private/var/mobile/Containers/Data/Application/FAE649F5-56EB-4859-A4FB-BD88616720DE。要在我设置应用程序时监视该路径，输入fsmon /private/var/mobile/Containers/Data/Application/FAE649F5-56EB-4859-A4FB-BD88616720DE并按回车
4. 回到终端，但点击到Mac的shell，不是iPhone标签页。我们将通过SSH使用"tar"在桌面上为Viber的Data和Group目录制作一个.tar文件。在Mac终端shell中，输入ssh root@127.0.0.1 -p 4242 'tar -cvf - <paste_path_to_Data> <paste_path_to_Group>' > ~/Desktop/Viber1.tar并按回车

您现在在桌面上拥有了归属于Viber的Data和Group路径的所有文件和文件夹。打开它并深入研究！您已成功提取了这些文件，而没有使用任何商业工具来提取您不需要或不关心的一堆其他数据，并且可以在几秒钟内开始检查您的结果，而无需等待任何冗长的解析过程！

请随意在不同应用程序上练习上述步骤，并定位它们的特定数据。另外，不要忘记iPhone上/private/var/mobile/Library/中的原生iOS文件 - 我们也可以监视这些目录，那里有大量令人惊叹的东西！

如果您遵循了所有这些步骤并成功到达这里，恭喜！！我知道这个设置很费力，特别是如果您刚刚开始使用CLI。我希望通过说我不久前第一次这样做来提供鼓励。经过大量练习、失败和咒骂 - 我现在能够使用"cda"找到我想要研究的数据，使用"fsmon"监视文件系统，然后在几分钟内"tar"出我想要的数据。