osx callhistory decryptor

ℹ HARAP DICATAT

sejak macOS 13 (Ventura), basis data Riwayat Panggilan tampaknya tidak dienkripsi. Anda dapat menjalankan program dengan tanda -no-key untuk melihat riwayat panggilan. Bendera -k tidak lagi diperlukan, namun masih tersedia untuk macOS versi lebih lama.

Mengonversi riwayat panggilan MacOS X ke format file CSV.

Ini adalah implementasi Golang dari Call History Decryptor n0fates, dan didasarkan pada presentasi n0fate yang menjelaskan internal database: https://papers.put.as/papers/macosx/2014/Forensic-artifacts-for-Yosemite- riwayat-panggilan-dan-sms-anlaysis-ENG.pdf

Motivasi penerapan ini adalah:

• untuk meningkatkan kegunaan dengan hanya memiliki satu biner yang dapat dieksekusi;
• tingkatkan kecepatan eksekusi dengan menggunakan fungsi perpustakaan standar;
• menyediakan format keluaran yang nyaman (CSV); Dan
• jelaskan penggunaannya agar lebih mudah diakses oleh mereka yang perlu mendapatkan riwayat panggilan dari MacOS X karena alasan apa pun, namun tidak memiliki waktu atau pengetahuan teknis yang diperlukan untuk menyiapkan juru bahasa Python dan paket yang diperlukan untuk implementasi asli.

Semua penghargaan untuk logika dekripsi diberikan kepada n0fate.

Dekripsi dan simpan riwayat panggilan macOS ke file CSV.

Unduhan tersedia di halaman Rilis.

Program ini membuat salinan database asli dalam direktori sementara dan beroperasi pada salinan tersebut. Setelah Riwayat Panggilan dicetak, file sementara akan dihapus.

Basis data asli tidak diubah selama eksekusi.

Sebagai referensi: macOS menyimpan data Riwayat Panggilan di lokasi berikut:

 "$HOME/Library/Application Support/CallHistoryDB/CallHistory.storedata"

Mulai program dengan tanda baris perintah -h untuk melihat bantuan penggunaan.

Penggunaan sederhana:

 $ ./osx-callhistory-decryptor [flags] [database_file]

Dimana database_file adalah opsional os macOS (di Windows Anda harus memberikan nama file).

Buka Terminal.aplikasi. (Bagaimana?)

1. Mulai dekripsi riwayat panggilan:

    $ ./osx-callhistory-decryptor
   

   Ini akan mencoba mencari file riwayat panggilan default, membuat salinan sementara dan membukanya.

   Jika Anda mendapatkan pesan "Operasi tidak diizinkan" di MacOS terbaru:

   1. Masuk ke "Preferensi Sistem";
   2. Pilih "Keamanan dan Privasi";
   3. Buka tab "Privasi", pilih item "Akses Disk Penuh";
   4. Tambahkan Utilities/Terminal.app — atau apa pun yang Anda gunakan — ke dalam daftar.

2. Anda akan dimintai kata sandi masuk pengguna Anda - ini memungkinkan program mengambil kunci enkripsi riwayat panggilan dari gantungan kunci OS X. Anda juga dapat memberikan kunci enkripsi riwayat panggilan secara manual menggunakan tanda baris perintah -k . Contoh:

    $ ./osx-callhistory-decryptor -k YSBzZWNyZXQga2V5IDEyCg==
   

3. Outputnya akan dicetak ke terminal secara default. Anda dapat menentukan file keluaran dengan memberikan tanda baris perintah -o :

    $ ./osx-callhistory-decryptor -o output.csv
   

Jika, karena alasan apa pun, Anda ingin membuka file yang berbeda dari file default, parameter baris perintah pertama harus berisi lokasi nama file:

 $ ./osx-callhistory-decryptor -o output.csv Calls.db

Secara default format waktu adalah RFC3339 tanpa pemisah waktu/tanggal "T" ( "2006-01-02 15:04:05Z07:00" ). Secara opsional, seseorang dapat mengubah perilaku tersebut dengan flag -time-format dengan meneruskan format yang berbeda. Misalnya, jika diperlukan hanya tanggal dan waktu, aktifkan program seperti ini:

 $ ./osx-callhistory-decryptor -time-format="2006-01-02 15:04"

Pemformatannya dijelaskan secara mendalam dalam dokumentasi paket waktu Go.

Anda perlu mendapatkan database dan kunci enkripsi dari sistem macOS asli.

1. Dapatkan salinan CallHistory.storedata dari mesin OS X sumber. File disimpan di lokasi ini:

    $HOME/Library/Application Support/CallHistoryDB/CallHistory.storedata
   

   dengan $HOME menjadi direktori home pengguna.

   Salin ke direktori yang sama tempat Anda membongkar 'callhistory'

2. Dapatkan kunci dari gantungan kunci macOS X sumber:

   1. cari gantungan kunci macOS X untuk Kunci Data Pengguna Riwayat Panggilan
   2. klik dua kali entri tersebut, dan beri tanda centang di seberang bidang "tampilkan kata sandi".
   3. Masukkan kata sandi akun pengguna Anda dan salin nilai kunci ke clipboard.

3. Buka terminal atau prompt cmd.exe di Windows (Bagaimana?). Mulai dekripsi riwayat panggilan di mesin Anda:

    C:>osx-callhistory-decryptor.exe -k <key value from step 2> <filename from step 1>
   

4. Outputnya akan dicetak ke terminal secara default. Anda dapat menentukan file keluaran dengan memberikan tanda baris perintah -o :

    C:>osx-callhistory-decryptor.exe -o your_ex_callhistory_lol.csv <filename from step 1>
   

Dekripsi riwayat panggilan OS X

Hak Cipta (C) 2016 n0fate (lisensi GPL2)

Hak Cipta (C) 2018-2021 rusq (implementasi golang, GPL3)

Program ini adalah perangkat lunak bebas: Anda dapat mendistribusikan ulang dan/atau memodifikasinya berdasarkan ketentuan Lisensi Publik Umum GNU sebagaimana diterbitkan oleh Free Software Foundation, baik versi 3 dari Lisensi tersebut, atau (sesuai pilihan Anda) versi yang lebih baru.

Program ini disebarluaskan dengan harapan dapat bermanfaat, namun TANPA JAMINAN APA PUN; bahkan tanpa jaminan tersirat mengenai KELAYAKAN UNTUK DIPERDAGANGKAN atau KESESUAIAN UNTUK TUJUAN TERTENTU. Lihat Lisensi Publik Umum GNU untuk lebih jelasnya.

Anda seharusnya sudah menerima salinan Lisensi Publik Umum GNU bersama dengan program ini. Jika tidak, lihat https://www.gnu.org/licenses/.