軍工保密！蘋果手機用戶自查TriangleDB間諜軟件參考步驟

軍工保密資格審查認證中心下屬公眾號“軍工安全保密教育培訓”發布《蘋果手機用戶自查TriangleDB間諜軟件參考步驟》。

一、準備工作

一臺Windows操作系統電腦（系統版本為Win10及以上），下載安裝蘋果iTunes工具。

二、自查步驟

步驟一：連接手機與電腦

在電腦上打開iTunes工具，通過數據線連接手機與電腦，并在手機上彈出的窗口中選擇“信任”。

圖1 蘋果設備確認是否信任電腦

步驟二：備份手機數據

在iTunes工具中，右鍵iPhone設備并選擇“備份”，如圖2，將手機信息備份到電腦中。

圖2 在iTunes工具中選擇備份

備份文件默認保存在:

C:\Users\用戶名\Appdata\Roaming\Apple Computer\MobileSync\Backup\

備份前，請確保默認保存目錄所在分區有足夠空間，若空間不足請修改備份文件保存位置。可刪除C:\Users\用戶名\Appdata\Roaming\Apple Computer\目錄下的MobileSync文件夾，并在其他硬盤空間足夠的分區根目錄下新建一個MobileSync文件夾（假設建立在D盤），按[windows鍵+R鍵]組合打開運行窗口，輸入cmd打開命令行，輸入：

mklink/j "C:\Users\用戶名\AppData\Roaming\Apple Computer\MobileSync" "D:\MobileSync"

（此處D:\MobileSync為新建文件夾所在的位置）

步驟三：下載檢查工具

備份完成后，下載檢查工具壓縮包，下載地址為：

https://github.com/KasperskyLab/triangle_check/releases/download/v0.0.1/triangle_check_win.zip

下載的文件默認位于電腦“下載”文件夾中（圖3）。如果更改了瀏覽器下載位置，可以在瀏覽器設置中查看（圖4）。

圖3 下載文件默認保存位置

圖4 可在瀏覽器設置中查看下載位置（以chrome為例）

步驟四：運行檢查工具

解壓檢查工具壓縮包到當前目錄。

圖5 選擇“解壓到當前文件夾”

按[windows鍵+R鍵]組合打開運行窗口，輸入cmd打開命令行。

圖6&圖7 打開命令行

通過cd命令進入解壓后的檢查工具所在的目錄

圖8 進入檢查工具所在目錄

執行命令對備份文件進行檢查：

triangle_check.exe "C:\Users\用戶名\Appdata\Roaming\Apple Computer\MobileSync\Backup\備份文件夾"

（若修改了備份文件保存路徑，請將命令中的文件夾路徑替換為修改后的路徑）

步驟五：查看檢查結果

若檢查工具輸出結果為紅色“DETECTED（已發現）”，則表明設備已被感染；

若輸出結果為黃色“SUSPICION（存疑）”，則表明設備疑似被感染；

若輸出結果為綠色“No traces of compromise were identified”，無紅色“DETECTED（已發現）”和黃色“SUSPICION（存疑）”結果，則表明設備未被該惡意軟件感染。

例如圖9的結果示意圖顯示，設備已被感染。

圖9 檢測結果示意圖