lordx64/iphone-malware-assessment
GitHub: lordx64/iphone-malware-assessment
一款打包为 Claude Code 技能的端到端 iPhone 间谍软件取证评估工具,在 Mac 上自动化完成从备份到扫描的全流程检测。
Stars: 1 | Forks: 0
# iPhone 恶意软件评估


-lightgrey?logo=apple&logoColor=white)


[](https://clawhub.ai/lordx64/skills/iphone-malware-scan)

这是一个端到端、可脚本化的取证评估工具,用于从 **Mac** 检查**未越狱的
iPhone** 是否存在间谍软件/恶意软件——它被打包为一个 Claude Code skill,这样
Claude 就能接管整个过程;同时也作为独立脚本提供,供您自行运行。
它通过 [Mobile Verification Toolkit (MVT)](https://mvt.re),自动化了安全研究人员用于检查手机是否存在针对性
间谍软件(Pegasus、Predator、Candiru、Cellebrite、Intellexa、商业
跟踪软件等)的工作流程。
## 它的功能
1. **预检 (Preflight)** — 安装/升级 `libimobiledevice` + `mvt`,下载
最新的间谍软件妥协指标 (IOC) 源。
2. **崩溃日志** — 从手机中提取 `.ips` 诊断日志(非破坏性)。
3. **加密备份** — 创建完整的加密备份,如果
手机锁定或断开连接,会**自动恢复**。
4. **解密** — 解密备份以便读取其文件。
5. **扫描** — 运行 `mvt-ios check-backup` 并对**每一个**下载的
IOC 源执行显式的 `check-iocs` 检查。
6. **崩溃分析** — 扫描所有崩溃报告,查找外部/注入的 dylib 以及
异常终止。
7. **评估** — 生成一份可读性强的报告:真实的 IOC 匹配与启发式提示对比、
覆盖范围表(检查了哪些数据),以及一个遍历备份中每个文件以查找异常的
**全清单文件扫描**。同时写入
`assessment-summary.json`。
## 环境要求
- macOS + [Homebrew](https://brew.sh)
- iPhone + USB 数据线
- 在备份期间:解锁手机,点击**信任**,并设置**自动锁定 →
从不**(设置 → 显示与亮度)。加密备份在手机锁定时
无法运行。
## 快速开始
```
cd skills/iphone-malware-scan
BACKUP_PASSWORD='choose-a-strong-password' \
WORKDIR="$PWD/iphone-assessment" \
zsh scripts/run-all.sh
```
或者单独运行 `skills/iphone-malware-scan/scripts/`
中带编号的步骤 — 请参阅
[`skills/iphone-malware-scan/SKILL.md`](skills/iphone-malware-scan/SKILL.md)。
## 从 ClawHub 安装
发布于 **[clawhub.ai/lordx64/skills/iphone-malware-scan](https://clawhub.ai/lordx64/skills/iphone-malware-scan)**:
```
openclaw skills install @lordx64/iphone-malware-scan
```
## 作为 Claude Code skill 使用
将该 skill 复制到您的 Claude 配置中,以便 Claude 可以根据请求运行它:
```
cp -R skills/iphone-malware-scan ~/.claude/skills/
```
然后在连接手机的情况下,像这样询问 Claude:*“scan my iPhone for spyware”*。
## 解读输出结果
- **真实检测** = 包含非空 `matched_indicator` 的 `*_detected.json` 条目。
这是唯一表明存在*已知*间谍软件的指标。
如果您看到了,请停止操作并联系
[Amnesty International's Security Lab](https://securitylab.amnesty.org/get-help/)。
- **启发式提示**(例如“Lockdown mode disabled”)= `matched_indicator: null`
— 这是安全加固建议,而不是检测。
- 干净的结果是强有力的证据,但**无法**证明不存在
未知的 zero-day。
## 隐私与安全
- 所有操作均在您的 Mac 上**本地**运行。不上传任何内容。
- 备份/解密后的数据是您的个人数据,可能高达几十 GB — 它已被
`.gitignore` 忽略,并在您完成检查后应予以删除(脚本会提醒您)。
- 启用备份加密会设置一个密码,如果丢失,
**无法恢复**。请妥善保管。
## 目录结构
```
skills/iphone-malware-scan/
SKILL.md the Claude Code / ClawHub skill (with metadata.openclaw)
scripts/ numbered pipeline steps + run-all.sh orchestrator + lib.sh
docs/ additional notes
LICENSE MIT-0
```
## 致谢
基于 [Mobile Verification Toolkit](https://github.com/mvt-project/mvt)
和 [libimobiledevice](https://libimobiledevice.org) 构建。IOC 源来自
MVT 项目和 Amnesty International。
标签:Claude Code, iOS, 移动端取证