po-tron/phonix

# phonix by potrón 分析加密或未加密的 iPhone 备份，并以 Markdown 格式生成完整的健康与安全报告。还支持通过 USB 数据线进行实时分析——无需越狱。 基于对 iOS 备份结构的真实取证调查构建。 ## 检查内容 | 模块 | 发现内容 | |---|---| | 🔋 **Battery** | 健康度百分比、容量、充电循环次数、备份时的充电状态 | | 📡 **Bluetooth** | 所有已配对/检测到的设备、车辆识别、OUI 制造商查询 | | 🚗 **CarPlay** | 车辆配对、连接历史记录、损坏的条目、应用列表 | | 📍 **Location** | 始终开启的应用、活跃的地理围栏、AirTag 监控器、预估的电池消耗 | | 🔐 **MDM** | 注册状态、配置描述文件、受监管设备检测 | | 🔒 **Security** | AirDrop 可见性、“查找我的”状态、iCloud Drive 中的敏感文件 | | 💥 **Crashes** | 各应用崩溃频率、异常类型、OOM (jetsam) 终止事件 | | 📶 **WiFi** | 已知网络、自动加入设置、强制门户、安全类型 | | 🏥 **Health** | 步数、健身记录、心率、睡眠数据摘要（仅限加密备份） | | 📱 **Screen Time** | 应用使用情况、解锁频率、来自 knowledgeC.db 的每日统计数据 | ## 系统要求 - macOS（已测试）或 Linux - Python 3.11+ - 本地 iPhone 备份（来自 Finder 或 iTunes） ### 安装依赖项 ``` # 创建虚拟环境（推荐） python3 -m venv venv source venv/bin/activate pip install -r requirements.txt ``` ## 使用方法 ``` # 加密备份 python3 toolkit.py /path/to/backup --password YourPassword # 未加密备份（较旧的 iPhone） python3 toolkit.py /path/to/backup # 实时数据线模式 python3 toolkit.py --live # 实时 + 捕获系统日志 python3 toolkit.py --live --syslog # 实时 + 创建全新备份然后分析 python3 toolkit.py --live --create-backup ~/Desktop/new_backup --password YourPassword # 自定义输出 python3 toolkit.py /path/to/backup --password YourPassword --output my_report.md ``` ### 我的备份在哪里？ | 平台 | 默认位置 | |---|---| | macOS | `~/Library/Application Support/MobileSync/Backup/` | | Windows | `C:\Users\\AppData\Roaming\Apple Computer\MobileSync\Backup\` | ## 输出 该工具包会生成一个包含所有发现结果的 `reports/report_YYYYMMDD_HHMM.md` 文件。 ### 示例输出（摘要）： ``` ▶ Reading device info... Device: fidds.io (iPhone14,5) — iOS 26.2 ▶ Backup encrypted: Yes ▶ Decrypting Manifest.db... ▶ Manifest.db integrity: ✅ OK ▶ Analyzing battery health... Battery health: 86.9% (2805 mAh) ▶ Analyzing Bluetooth devices... Named: 5, Anonymous: 26, CarPlay-capable: 8 ▶ Analyzing CarPlay... Pairings: 1, Issues: 2 ▶ Analyzing location services... Always-on apps: 4, GeoFences: 25, Est. drain: ~8.5 mAh/day ▶ Checking MDM / remote management... MDM enrolled: No ▶ Running security checks... ⚠️ 1 sensitive file(s) found! ▶ Analyzing app crashes... Crash reports: 7, OOM events: 2 ✅ Report saved to: reports/report_20260111_0800.md ⚠️ Summary of findings: • NOTICE: Battery health good but declining • Corrupted CarPlay entry: (null)-CarDisplayIconState.plist found • Google Maps has 5 active geofences • AirTag geofences still active in background • SECURITY RISK: 'SubWallet phrase /Phrase recovery.txt' ``` ## 隐私与安全 - **只读** —— 该工具包绝不会修改您的备份 - **完全本地** —— 不会将数据发送到任何地方（除非使用 `--online-oui` 进行 MAC 查询） - **临时文件** —— 提取的 plists 存储在系统临时目录中，随后会被清理 ## 模块 ``` iphone-toolkit/ ├── toolkit.py ← Main script (run this) ├── requirements.txt ├── README.md ├── modules/ │ ├── decrypt.py ← Backup decryption + file extraction │ ├── battery.py ← Battery health analysis │ ├── bluetooth.py ← BT device inventory + OUI lookup │ ├── carplay.py ← CarPlay pairing + vehicle analysis │ ├── location.py ← Location permissions + geofence analysis │ ├── mdm.py ← MDM enrollment detection │ ├── security.py ← AirDrop, Find My, sensitive file scan │ ├── crashes.py ← App crash frequency + OOM analysis │ ├── wifi.py ← Known WiFi networks + security audit │ ├── health.py ← Apple Health data summary │ └── screentime.py ← Screen Time / app usage analysis └── reports/ ← Generated reports saved here ``` ## 注意事项 - **加密备份**需要您的备份密码（在 Finder/iTunes 中设置） - 该工具包使用 [`iphone-backup-decrypt`](https://github.com/jsharkey13/iphone_backup_decrypt) 进行解密 - PowerLog（按小时统计的各应用电池使用情况）需要直接访问设备，备份中不可用 - 无法从备份数据中确定 CarPlay 车辆型号——仅可获取车载主机协议和蓝牙 MAC 地址

标签：CarPlay, iOS, iPhone, MDM检测, Python, USB实时分析, 二进制发布, 代码示例, 位置服务, 取证, 备份分析, 开源工具, 数字取证, 数据分析, 无后门, 电池健康, 移动取证, 移动设备管理, 网络安全, 自动化脚本, 蓝牙, 越狱检测, 隐私保护, 隐私检查