一、准备工作
一台Windows操作系统电脑(系统版本为Win10及以上),下载安装苹果iTunes工具。
二、自查步骤
步骤一:连接手机与电脑
在电脑上打开iTunes工具,通过数据线连接手机与电脑,并在手机上弹出的窗口中选择“信任”。
图1 苹果设备确认是否信任电脑
步骤二:备份手机数据
在iTunes工具中,右键iPhone设备并选择“备份”,如图2,将手机信息备份到电脑中。
图2 在iTunes工具中选择备份
备份文件默认保存在:
C:\\Users\\用户名\\Appdata\\Roaming\\Apple Computer\\MobileSync\\Backup\\备份前,请确保默认保存目录所在分区有足够空间,若空间不足请修改备份文件保存位置。可删除C:\\Users\\用户名\\Appdata\\Roaming\\Apple Computer\\目录下的MobileSync文件夹,并在其他硬盘空间足够的分区根目录下新建一个MobileSync文件夹(假设建立在D盘),按[windows键+R键]组合打开运行窗口,输入cmd打开命令行,输入:
mklink/j "C:\\Users\\用户名\\AppData\\Roaming\\Apple Computer\\MobileSync" "D:\\MobileSync"(此处D:\\MobileSync为新建文件夹所在的位置)
步骤三:下载检查工具
备份完成后,下载检查工具压缩包,下载地址为:
https://github.com/KasperskyLab/triangle_check/releases/download/v0.0.1/triangle_check_win.zip下载的文件默认位于电脑“下载”文件夹中(图3)。如果更改了浏览器下载位置,可以在浏览器设置中查看(图4)。
图3 下载文件默认保存位置
图4 可在浏览器设置中查看下载位置(以chrome为例)
步骤四:运行检查工具
解压检查工具压缩包到当前目录。
图5 选择“解压到当前文件夹”
按[windows键+R键]组合打开运行窗口,输入cmd打开命令行。
图6&图7 打开命令行
通过cd命令进入解压后的检查工具所在的目录
图8 进入检查工具所在目录
执行命令对备份文件进行检查:
triangle_check.exe "C:\\Users\\用户名\\Appdata\\Roaming\\AppleComputer\\MobileSync\\Backup\\备份文件夹"(若修改了备份文件保存路径,请将命令中的文件夹路径替换为修改后的路径)
步骤五:查看检查结果
若检查工具输出结果为红色“DETECTED(已发现)”,则表明设备已被感染;
若输出结果为黄色“SUSPICION(存疑)”,则表明设备疑似被感染;
若输出结果为绿色“No traces of compromise were identified”,无红色“DETECTED(已发现)”和黄色“SUSPICION(存疑)”结果,则表明设备未被该恶意软件感染。
例如图9的结果示意图显示,设备已被感染。
图9 检测结果示意图
声明:本文来自军工安全保密教育培训,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
