关于MEATMEAT,全称MobileEvidenceAcquisitionToolkit,是一款移动设备取证收集工具。该工具旨在帮助安全取证人员在iOS设备上执行不同类型的信息收集任务,未来将增加对Android设备的支持。该工具需要Windows或Linux系统Python3.7.4或7.2环境pip包,详见txt测试平台本工具当前版本已在iPhoneXiOS13.3和iPhoneXSiOS12.4上进行测试。工具下载广大研究人员可以通过以下命令将项目源码clone到本地:gitclonehttps://github.com/jfarley248/MEAT.git工具帮助信息用法:MEAT.py[-h][-iOS][-filesystem][-filesystemPathFILESYSTEMPATH][-logical][-md5][-sha1]-oOUTPUTDIR[-v]MEAT-MobileEvidenceAcquisitionToolkitt可选参数:-h,--help显示帮助信息并退出-iOS在iOS设备上执行信息获取-filesystem执行文件系统collection-filesystemPath文件系统路径,需与--filesystem参数一起使用,默认为"/"-logical进行逻辑收集,使用AFC访问content-md5使用MD5算法获取hash文件,输出到Hash_Table。csv-sha1使用MD5算法获取hash文件,输出到输出文件存放目录Hash_Table.csv-oOUTPUTDIR-v启用Verbose模式支持的采集类型(一)iOS设备-逻辑采集使用逻辑MEAT上的收集功能,以及t该指令工具将通过越狱设备AFC提取可访问的文件和文件夹。允许访问的文件夹是“\private\var\mobile\Media”,里面会包含以下文件夹:AirFairBooksDCIMDownloadsgeneral_storageiTunes_ControlMediaAnalysisPhotoDataPhotosPublicStagingPurchasesRecordings(2)iOS设备-文件系统先决条件:越狱iOS设备,通过Cydia安装AFC2,AppleFileConduit2使用MEAT上的文件系统获取功能允许该工具启动AFC2服务并将目标设备上的所有文件和文件夹复制到我们的主机系统。此方法需要目标设备越狱并安装AppleFileConduit2。这个方法也可以使用-filesystemPath参数修改,让MEAT解压指定目录。项目地址MEAT:【GitHub传送门】
