iOS恶意软件检测工具iShutdown安装与使用指南

iOS恶意软件检测工具iShutdown安装与使用指南

项目地址:https://gitcode.com/gh_mirrors/is/iShutdown

项目目录结构及介绍

KasperskyLab的iShutdown项目基于Python，用于从iOS设备的Sysdiagnose归档中提取并分析关机日志的法医痕迹。以下是项目的主要目录结构及其简介：

.
├── iShutdown_detect.py      # 主要脚本，用于检测Sysdiagnose归档中的异常，可能指示恶意活动。
├── iShutdown_parse.py       # 解析脚本，从Sysdiagnose归档中提取关机日志并生成可读CSV文件。
├── iShutdown_stats.py       # 统计脚本，分析关机日志中的重启次数、时间等统计信息。
├── README.md                # 项目说明文档，包括使用步骤和依赖信息。
├── LICENSE                  # 许可证文件，采用MIT许可。
├── License.txt              # 另一版本的许可证文件（可能存在重复或不一致）。
└── ...                      # 其他潜在的支持文件或文档。

每个Python脚本扮演着不同的角色，在iOS安全研究过程中提供不同层面的分析能力。

项目启动文件介绍

iShutdown_detect.py

此脚本是分析入口点之一，它接受一个Sysdiagnose归档文件路径作为输入参数，自动检查该归档内可能存在的异常情况，如系统延迟重启或特定目录下的可疑进程活动，这些都可能是iOS恶意软件的指示器。

使用示例:

python3 iShutdown_detect.py /path/to/your/sysdiagnose_file.tar.gz

iShutdown_parse.py

解析器脚本，负责从提供的Sysdiagnose归档中提取关机日志，并转换为CSV格式文件，便于进一步分析。这个过程会包括生成日志的哈希值以及处理的时间戳。

使用示例:

python3 iShutdown_parse.py -e /path/to/your/sysdiagnose_file.tar.gz

iShutdown_stats.py

专注于从提取的关机日志中获取统计信息，比如首次重启、最近一次重启以及按月的重启次数等，帮助理解设备的重启模式。

使用示例:

python3 iShutdown_stats.py

配置文件介绍

项目本身并未明确提及外部配置文件。所有必要的配置和参数都是通过命令行直接传递给各个脚本的。因此，用户需通过修改脚本执行时的命令参数来定制化其行为，而无需编辑单独的配置文件。

在使用这些脚本前，确保已满足所有Python依赖项，这通常通过阅读README.md文件来了解，并据此安装相应的库。尽管未直接提及配置文件，但README.md包含了详细的运行指导和环境准备说明，是不可或缺的“动态配置”来源。

iShutdown 项目地址: https://gitcode.com/gh_mirrors/is/iShutdown