🚀 iOS 法医 MCP 服务器
这是一个用于分析 iOS 文件系统的法医分析服务器,借助模型上下文协议(MCP),能让像 Claude 这样的 AI 助手访问并分析提取的 iOS 文件系统,助力数字取证工作。
🚀 快速开始
iOS 法医 MCP 服务器提供了分析 iOS 设备提取文件的工具,可进行文件系统分析、SQLite 数据库解析、属性列表(plist)解析等操作。此项目设计为教育/学习工具,允许用户与 AI 助手交互以探索和分析 iOS 数据。
安装说明
- 从源代码安装 克隆仓库并运行安装脚本:
git clone https://github.com/rlabs-inc/ios-forensics-mcp.git
cd ios-forensics-mcp
./install.sh
- 依赖管理
使用
requirements.txt管理 Python 依赖项。 - 配置文件
创建并编辑
config.json文件以设置分析参数。
配置示例
{
"tools": {
"sqlite": {
"enabled": true,
"database_path": "/path/to/databases"
},
"plist": {
"enabled": true,
"plist_path": "/path/to/plists"
}
},
"logging": {
"level": "INFO",
"output_file": "analysis.log"
}
}
启动 MCP 服务器
# 使用默认配置启动
ios-forensics-mcp
# 指定配置文件启动
ios-forensics-mcp --config /path/to/config.json
# 指定 iOS 根目录路径
ios-forensics-mcp --root-path /path/to/ios_extraction
✨ 主要特性
- 文件系统工具
- 可进行目录导航及元数据解析。
- 支持文件内容查看及类型识别。
- 能基于内容和模式匹配进行文件搜索。
- SQLite 分析
- 可发现数据库并解析其架构。
- 能安全执行查询(包括 WAL 处理)。
- 可恢复自由列表页中的已删除记录。
- 支持数据库切割以实现深度法证分析。
- plist 分析
- 能解析二进制和 XML plist。
- 可提取值并转换为结构化数据。
- 能识别与重建已删除项目。
- 特殊功能
- 可解析信息日志。
- 能收集应用日志。
- 可分析系统缓存。
📦 安装指南
安装要求
- 操作系统:Linux、macOS 或 Windows(通过 WSL 支持)
- Python 版本:3.8 或更高版本
- 权限:仅读模式运行以保护证据完整性
安装步骤
- 从源代码安装 克隆仓库并运行安装脚本:
git clone https://github.com/rlabs-inc/ios-forensics-mcp.git
cd ios-forensics-mcp
./install.sh
- 依赖管理
使用
requirements.txt管理 Python 依赖项。 - 配置文件
创建并编辑
config.json文件以设置分析参数。
💻 使用示例
基础用法
# 使用默认配置启动
ios-forensics-mcp
高级用法
# 指定配置文件启动
ios-forensics-mcp --config /path/to/config.json
# 指定 iOS 根目录路径
ios-forensics-mcp --root-path /path/to/ios_extraction
📚 详细文档
关于每个工具及其功能的详细文档,请参阅文档。
🔧 技术细节
项目结构
ios_forensics_mcp/
├── tools/ # 工具实现
│ ├── filesystem/ # 文件系统工具
│ ├── sqlite/ # SQLite 分析工具
│ ├── plist/ # Property List 工具
│ └── specialized/ # iOS 特定日志解析器
└── utils/ # 公共功能函数
🛡️ 安全注意事项
⚠️ 重要提示
此工具以执行用户的权限运行,并相应地访问文件系统。安全建议如下:
- 总是以只读模式运行以保护证据。
- 验证路径以防止目录遍历攻击。
- 使用无特权的专用用户来运行服务器。
- 限制对提取的 iOS 文件系统的访问。
📄 许可证
该项目在 MIT 许可证下发行。详细信息请参阅 LICENSE 文件。
🤝 贡献
欢迎贡献!请随意提交 Pull Request。
🙏 致谢
- 感谢数字取证社区对 iOS 遗留的研究和文档。
- 感谢 MCP 社区创建使得此工具成为可能的协议。