iOS文件系统镜像提取与解析

在做iOS安全分析时，有时需要了解整个文件系统运行状况、app安装详情，安装目录，沙盒目录等。因此则需要提取iOS文件系统镜像并做解析及分析。本文主要介绍提取iOS文件系统镜像及解析系统镜像。

一、iOS文件系统镜像提取

1. 提取iOS文件系统镜像，用到的工具为iOS Forensic Toolkit。iOS Forensic Toolkit是一款专业的iOS系统取证工具。它支持32位和64位iOS设备的物理采集，支持锁屏和密钥串提取的逻辑采集，能够快速提取媒体文件和共享文件。但是根据使用测试，想要提取最详尽的iOS文件系统镜像，则要求需要有iOS设备的锁屏密码及iOS设备已经越狱，这样才能最详尽提取出iOS设备文件系统。本文就是基于我的iOS设备锁屏密码已知，并且已经越狱且安装完openssh
2. iOS Forensic Toolkit软件安装，想测试安装使用iOS Forensic Toolkit，可以在公众号回复“forensic”获取下载链接 双击iOS Forensic Toolkit.msi，依次点击 next 配置安装目录后，即可安装成功，如下所示

1. 将要提取的iOS设备通过数据线连接到Windows电脑
2. 运行iOS Forensic Toolkit 打开终端，进入上一步配置的iOS Forensic Toolkit安装目录，然后执行目录中的程序Toolkit.cmd，如下图所示

运行Toolkit.cmd后，即提示iOS Forensic Toolkit注册码有效，点击enter键继续，如下所示

输入iOS设备已经安装的ssh端口，因为我的iOS设备安装的是openssh因此端口为22，如果安装了其他ssh软件则需要输入对应的端口，点击enter键即可，如下所示

软件连接上iOS设备后，则会显示出各种提取功能，包括逻辑提取（Logical acquisition）、物理提取（Physical acquisition），如下所示

通过物理提取（Physical acquisition）选项中的“FILE SYSTEM”，最详尽提取iOS文件系统镜像。因为我的iOS设备没有锁屏，已经越狱，所以我选择了“FILE SYSTEM”这个最详尽的选项，如下所示

选择“FILE SYSTEM”后，点击enter键，则会提示设置存储提取出的文件名，我这里设置为iphoneDevice，设置完后则开始提取iOS文件系统，等待提取完即可，如下所示

二、解析iOS文件系统

1. 通过iOS Forensic Toolkit提取完iOS设备文件系统镜像后，开始对该文件系统镜像进行解析。解析需要用到的工具为iLEAPP。iLEAPP能够将iOS文件系统镜像进行解析，并将解析后的结果生成html报告，使用浏览器打开查看即可，但是要求的镜像保存格式要为.tar或者.zip。我们上面提取到的iOS文件系统镜像保存的格式为.tar，因此刚好合适
2. 下载iLEAPP，（如果下载慢，可以在公众号回复“iLEAPP”，进行百度云下载，如下所示 git clone https://github.com/abrignoni/iLEAPP.git
3. 安装python3 因为安装iLEAPP需要python3环境，并且要求python3的版本>3.7，所以要先安装python3，安装完配置好python3的系统环境变量即可
4. 安装iLEAPP，进入下载后的iLEAPP目录中，执行如下命令进行安装，如下所示 pip install -r requirements.txt

1. 安装完iLEAPP后，则开始解析iOS文件系统镜像，通过如下命令对已经提取出来的iOS文件系统镜像进行提取，点击enter键即可，如下所示

执行ileapp.py程序，在后面添加对应参数 -t 表示 设置需要解析的文件系统镜像格式（我们设置为tar） -o 表示 设置解析后保存的目录（我们设置为iOS Forensic Toolkit软件的安装目录，可以根据需要另外设置也可） -i 表示 设置需要解析的文件系统镜像文件（我们提取出来的iphoneDevice.tar保存在iOS Forensic Toolkit软件的安装目录中，因此这次写上这个目录+iphoneDevice.tar文件名）

1. 开始解析iOS文件系统镜像，我们需要等待一段时间即可，如下所示

1. 生成解析报告，提示报告存储的位置，如下所示

1. 进入解析报告目录中，查看文件，如下所示

1. 点击任意一个html报告，如下所示

10.查看到各种信息，如下所示