關于MEAT

MEAT，全稱為Mobile Evidence Acquisition Toolkit，即移動設備取證采集工具。該工具旨在幫助安全取證人員在iOS設備上執(zhí)行不同類型的信息采集任務，將來該工具會添加針對Android設備的支持。

工具要求

• Windows或Linux系統(tǒng)
• Python 3.7.4或7.2環(huán)境
• pip包，具體參考txt

已測試的平臺

該工具的當前版本已在iPhone X iOS 13.3和iPhone XS iOS 12.4上進行過測試。

工具下載

廣大研究人員可以通過下列命令將該項目源碼克隆至本地：

git clone https://github.com/jfarley248/MEAT.git 

工具幫助信息

usage: MEAT.py [-h] [-iOS] [-filesystem] [-filesystemPath FILESYSTEMPATH] 
               [-logical] [-md5] [-sha1] -o OUTPUTDIR [-v] 
MEAT - Mobile Evidence Acquisition Toolkit 
optional arguments: 
  -h, --help            顯示幫助信息并退出 
  -iOS                在iOS設備上執(zhí)行信息采集 
  -filesystem           執(zhí)行文件系統(tǒng)采集  
  -filesystemPath       文件系統(tǒng)路徑，需配合--filesystem參數(shù)使用，默認為"/" 
  -logical              執(zhí)行邏輯采集，使用AFC訪問內(nèi)容 
  -md5               使用MD5算法獲取哈希文件，輸出至Hash_Table.csv 
  -sha1               使用MD5算法獲取哈希文件，輸出至Hash_Table.csv 
  -o OUTPUTDIR        存儲輸出文件的目錄 
  -v                  開啟Verbose模式 

支持的采集類型

(1) iOS設備-邏輯采集

在MEAT上使用邏輯采集功能，將指示工具通過越獄設備的AFC提取可訪問的文件和文件夾。

允許訪問的文件夾為“\private\var\mobile\Media”，其中將包含下列文件夾：

AirFair 
Books 
DCIM 
Downloads 
general_storage 
iTunes_Control 
MediaAnalysis 
PhotoData 
Photos 
PublicStaging 
Purchases 
Recordings 

(2) iOS設備-文件系統(tǒng)

前提要求：已越獄的iOS設備、通過Cydia安裝AFC2、Apple File Conduit 2

在MEAT上使用文件系統(tǒng)采集功能，可以允許該工具開啟AFC2服務，并將目標設備上所有的文件和文件夾拷貝至我們的主機系統(tǒng)中。這個方法需要目標設備已越獄，并安裝好Apple File Conduit 2。該方法還可以使用-filesystemPath參數(shù)來進行修改，并讓MEAT提取指定的目錄。

項目地址

MEAT：【GitHub傳送門】