lordx64/iphone-malware-assessment

GitHub: lordx64/iphone-malware-assessment

一款打包为 Claude Code 技能的端到端 iPhone 间谍软件取证评估工具,在 Mac 上自动化完成从备份到扫描的全流程检测。

Stars: 1 | Forks: 0

# iPhone 恶意软件评估 ![版本](https://img.shields.io/badge/version-1.0.0-orange) ![平台](https://img.shields.io/badge/platform-macOS-000000?logo=apple&logoColor=white) ![目标](https://img.shields.io/badge/target-iOS%20(non--jailbroken)-lightgrey?logo=apple&logoColor=white) ![由 MVT 提供支持](https://img.shields.io/badge/powered%20by-MVT-1f6feb) ![Claude Code](https://img.shields.io/badge/Claude%20Code-skill-8A2BE2) [![ClawHub](https://img.shields.io/badge/ClawHub-iphone--malware--scan-6f42c1)](https://clawhub.ai/lordx64/skills/iphone-malware-scan) ![许可证](https://img.shields.io/badge/license-MIT--0-2ea44f) 这是一个端到端、可脚本化的取证评估工具,用于从 **Mac** 检查**未越狱的 iPhone** 是否存在间谍软件/恶意软件——它被打包为一个 Claude Code skill,这样 Claude 就能接管整个过程;同时也作为独立脚本提供,供您自行运行。 它通过 [Mobile Verification Toolkit (MVT)](https://mvt.re),自动化了安全研究人员用于检查手机是否存在针对性 间谍软件(Pegasus、Predator、Candiru、Cellebrite、Intellexa、商业 跟踪软件等)的工作流程。 ## 它的功能 1. **预检 (Preflight)** — 安装/升级 `libimobiledevice` + `mvt`,下载 最新的间谍软件妥协指标 (IOC) 源。 2. **崩溃日志** — 从手机中提取 `.ips` 诊断日志(非破坏性)。 3. **加密备份** — 创建完整的加密备份,如果 手机锁定或断开连接,会**自动恢复**。 4. **解密** — 解密备份以便读取其文件。 5. **扫描** — 运行 `mvt-ios check-backup` 并对**每一个**下载的 IOC 源执行显式的 `check-iocs` 检查。 6. **崩溃分析** — 扫描所有崩溃报告,查找外部/注入的 dylib 以及 异常终止。 7. **评估** — 生成一份可读性强的报告:真实的 IOC 匹配与启发式提示对比、 覆盖范围表(检查了哪些数据),以及一个遍历备份中每个文件以查找异常的 **全清单文件扫描**。同时写入 `assessment-summary.json`。 ## 环境要求 - macOS + [Homebrew](https://brew.sh) - iPhone + USB 数据线 - 在备份期间:解锁手机,点击**信任**,并设置**自动锁定 → 从不**(设置 → 显示与亮度)。加密备份在手机锁定时 无法运行。 ## 快速开始 ``` cd skills/iphone-malware-scan BACKUP_PASSWORD='choose-a-strong-password' \ WORKDIR="$PWD/iphone-assessment" \ zsh scripts/run-all.sh ``` 或者单独运行 `skills/iphone-malware-scan/scripts/` 中带编号的步骤 — 请参阅 [`skills/iphone-malware-scan/SKILL.md`](skills/iphone-malware-scan/SKILL.md)。 ## 从 ClawHub 安装 发布于 **[clawhub.ai/lordx64/skills/iphone-malware-scan](https://clawhub.ai/lordx64/skills/iphone-malware-scan)**: ``` openclaw skills install @lordx64/iphone-malware-scan ``` ## 作为 Claude Code skill 使用 将该 skill 复制到您的 Claude 配置中,以便 Claude 可以根据请求运行它: ``` cp -R skills/iphone-malware-scan ~/.claude/skills/ ``` 然后在连接手机的情况下,像这样询问 Claude:*“scan my iPhone for spyware”*。 ## 解读输出结果 - **真实检测** = 包含非空 `matched_indicator` 的 `*_detected.json` 条目。 这是唯一表明存在*已知*间谍软件的指标。 如果您看到了,请停止操作并联系 [Amnesty International's Security Lab](https://securitylab.amnesty.org/get-help/)。 - **启发式提示**(例如“Lockdown mode disabled”)= `matched_indicator: null` — 这是安全加固建议,而不是检测。 - 干净的结果是强有力的证据,但**无法**证明不存在 未知的 zero-day。 ## 隐私与安全 - 所有操作均在您的 Mac 上**本地**运行。不上传任何内容。 - 备份/解密后的数据是您的个人数据,可能高达几十 GB — 它已被 `.gitignore` 忽略,并在您完成检查后应予以删除(脚本会提醒您)。 - 启用备份加密会设置一个密码,如果丢失, **无法恢复**。请妥善保管。 ## 目录结构 ``` skills/iphone-malware-scan/ SKILL.md the Claude Code / ClawHub skill (with metadata.openclaw) scripts/ numbered pipeline steps + run-all.sh orchestrator + lib.sh docs/ additional notes LICENSE MIT-0 ``` ## 致谢 基于 [Mobile Verification Toolkit](https://github.com/mvt-project/mvt) 和 [libimobiledevice](https://libimobiledevice.org) 构建。IOC 源来自 MVT 项目和 Amnesty International。
标签:Claude Code, iOS, 移动端取证