В экосистеме Apple существует унифицированная система журналов событий, в которой в стандартизированном для всех устройств виде собираются записи о системных событиях и действиях пользователя. Формат журналов неизменен независимо от того, создаются они на устройствах с iOS, iPadOS, watchOS или tvOS, хотя тип и количество записей, конечно же, будет отличаться. В цифровой криминалистике журналы событий играют важную роль. Запись в журнале событий может помочь установить факт физического присутствия или факт осознанного использования устройства, рассказать о том, что пользователь делал с устройством в тот или иной момент времени и даже в каких условиях оно находилось.

Значение журналов событий для криминалистики

Унифицированная система журналов Apple — мощный инструмент в арсенале любого эксперта цифровой криминалистики. Логи событий представляют самостоятельную ценность, отлично дополняя другие данные и помогая восстановить действия пользователя с привязкой ко времени. Система журналов изначально создавалась для диагностики и мониторинга производительности; в ней непрерывно фиксируется детальная информация о работе устройства. Для судебных экспертов логи — важный источник данных, отражающих как поведение системы, так и действия пользователя.

Согласно официальной документации Apple:

Унифицированная система журналов предоставляет эффективный и масштабируемый API для сбора телеметрии на всех уровнях системы. Вместо записи данных в текстовые файлы, логи централизованно хранятся в памяти и на диске. Их можно просматривать через приложение Console, командную утилиту log или консоль отладки в Xcode. Также доступен программный доступ через фреймворк OSLog.

Одни из самых ценных артефактов — события, связанные с биометрией и аутентификацией. К примеру, записи Face ID содержат информацию о времени распознавания лица, о том, смотрел ли пользователь на экран в момент разблокировке, носил ли он очки и даже температуре сенсора в момент сканирования. Эти данные позволяют подтвердить как физическое присутствие пользователя, так и его намерение разблокировать устройство (здесь помогает информация о направлении взгляда пользователя в момент разблокировки). Действия с Touch ID также подробно фиксируются — в логах можно найти события касания и снятия пальца с сенсора, а также сведения о том, была ли попытка успешной.

Логи содержат хронологию всех попыток разблокировки, как удачных, так и неудачных, с указанием, использовалась ли биометрия или ввод пароля. Процесс SpringBoard, управляющий домашним экраном iOS, сохраняет информацию о применяемом способе разблокировки. Эти данные помогают установить, когда и каким образом осуществлялся доступ к устройству.

Журналы фиксируют и изменения состояния системы: перезагрузки, выключения, обновления прошивки. Например, внезапное выключение, за которым следует загрузка, может свидетельствовать о вмешательстве в работу устройства или экстренном перезапуске в ходе изъятия.

Логи содержат и такие события, как изменение ориентации устройства — например, переход из стандартного портретного режима в ландшафтный. Эти записи, формируемые CoreMotion, позволяют судить о том, как пользователь держал и использовал устройство. Подобная информация редко сохраняется в других источниках, но может быть критичной для восстановления точной последовательности событий.

Также в логах могут присутствовать следы использования AirDrop, сеансов Continuity, запусков приложений (включая аварийные ситуации, когда приложение «падает»), изменений сетевого окружения. Эти события помогают подтвердить активность пользователя и восстановить его действия, особенно в тех случаях, когда данные самих приложений недоступны. События установки и удаления приложений позволяют установить факт наличия какого-либо приложения на устройстве даже в том случае, если самого приложения на нём нет.

Таким образом, унифицированные журналы — это настоящая находка для криминалистики: они позволяют с высокой точностью восстановить действия пользователя, поведение системы и моменты активности устройства. Благодаря точным временным меткам и охвату всех уровней системы, такие логи помогают восполнить пробелы в данных и становятся ключевым инструментом в современных расследованиях.

Как извлечь журналы событий

По умолчанию унифицированные логи Apple не сохраняются в постоянной памяти устройства; чтобы извлечь, логи нужно сначала сгенерировать. Сама процедура зависит от типа устройства — будь то iPhone, iPad, Apple Watch, Apple TV и т. д. — и будет подробно рассмотрена далее.

Есть несколько способов, которыми можно извлечь сгенерированные журналы. В официальной документации Apple описаны методы, ориентированные на разработчиков. Эти методы довольно плохо подходят для нужд цифровой криминалистики. Вместо них лучше использовать сторонние инструменты, такие как UFADE или iOS Unified Log Tool — или Elcomsoft iOS Forensic Toolkit (EIFT) нашей собственной разработки. Этим инструментом мы и воспользуемся.

После того, как устройство разблокировано, подключено и сопряжено с вашим компьютером (в случае с iPhone или iPad на устройстве для этого потребуется ввести пароль), можно приступить к извлечению логов. Для этого используется следующая команда:

На Windows:

eift_cmd normal dumpcrash -o FILEPATH\FILENAME

На Linux и macOS:

./eift_cmd normal dumpcrash -o FILEPATH/FILENAME

Команда извлекает диагностические данные и сохраняет их в указанный файл (FILENAME) по заданному пути (FILEPATH). Логи сохраняются в виде одного TAR-архива, поэтому рекомендуется использовать имя файла с расширением — например, «unifiedlogs.tar». Мы будем использовать это имя в последующих примерах.

Важные замечания:

• Если вы используете Windows, на вашем компьютере должна быть установлена программа Apple Devices (ранее iTunes); убедитесь, что после установки её запускали хотя бы единожды. В противном случае не удастся установить сопряжение устройства с компьютером.
• Логи должны быть заранее сгенерированы на устройстве. В некоторых случаях требуется подождать несколько минут, прежде чем они станут доступны (до 10 минут для iPhone, до 15 минут — для часов).
• Устройство должно быть разблокировано и сопряжено с рабочей станцией, что требует ввода пароля (на iOS/iPadOS).
• Извлечение данных из каталога /DiagnosticLogs/sysdiagnose/sysdiagnose может занять значительное время, особенно если логов много. Ожидание может длиться до 30 минут или дольше. Если процесс затягивается, попробуйте сменить кабель или порт подключения.

Анализ журналов событий

После того как вы извлекли унифицированные логи с устройства при помощи EIFT, который сохраняет их в виде архива .tar, следующим этапом становится их анализ и выделение значимых артефактов. Для этого можно использовать одну из нескольких программ. Мы остановились на iLEAPP (iOS Logs, Events, And Plist Parser) — это бесплатный инструмент с открытым исходным кодом, разработанный как раз для анализа артефактов iOS, включая журналы.

iLEAPP автоматизирует процесс извлечения и интерпретации данных из диагностических дампов, отчётов о сбоях, архивов sysdiagnose и других логов. Он поддерживает анализ множества категорий данных: попытки разблокировки экрана, события биометрии, активность приложений и системы, изменение ориентации устройства, события включения/выключения и т. д.

Если использовался iOS Forensic Toolkit, из созданного архива (tar) нужно предварительно извлечь журнал sysdiagnose. Журналы sysdiagnose обычно хранятся по следующему пути (внутри архива):

your-extracted-logfile.tar\private\var\mobile\Library\Logs\CrashReporter\DiagnosticLogs\sysdiagnose

В этой папке найдите архив .tar.gz, его имя может быть похожим на следующее:

sysdiagnose_2025.06.24_11-01-29+0200_iPhone-OS_iPhone_22F76.tar.gz

Извлеките этот файл. Далее вы можете либо извлечь из него архив .tar (тогда в утилите iLEAPP нужно использовать аргумент -t tar) или использовать его как есть (тогда аргумент будет -t gz).

Если вы используете версию на Python, выполните команду:

python3 iLEAPP.py -t tar -o /путь/к/папке/результатов -i /путь/к/sysdiagnose.tar

Если вы используете скомпилированную исполняемую версию (скачанную со страницы релизов), выполните:

ileapp.exe -t tar -o /путь/к/папке/результатов -i /путь/к/sysdiagnose.tar

Если передаётся сжатый архив, то формат команды будет таким:

ileapp.exe -t gz -o /путь/к/папке/результатов -i /путь/к/sysdiagnose.tar.gz

Пояснения к параметрам:

• -t tar — указывает, что входной файл представляет собой .tar-архив (например, полученный через eift_cmd normal dumpcrash);
• -i — путь к входному архиву логов;
• -o — путь к директории, куда будет сохранён отчёт.

После обработки iLEAPP создаёт:

• интерактивный отчёт в формате HTML;
• экспорт в формате CSV;
• извлечённые артефакты, сгруппированные по категориям.

Благодаря модульной архитектуре, iLEAPP автоматически выявляет ключевые данные, что значительно упрощает работу с журналами больших объёмов.

На каких устройствах создаются журналы

Система журналирования есть практически во всех устройствах, выпускаемых компанией Apple. Хотя формат и архитектура логов остаются одинаковыми на всех платформах, каждый тип устройства генерирует уникальные данные в зависимости от поддерживаемых функций, аппаратных возможностей и сценариев использования. В цифровой криминалистике наибольший интерес представляют логи, полученные с мобильных и носимых устройств Apple.

iPhone и iPad — самые популярные и хорошо изученные устройства в контексте мобильной криминалистики. Они генерируют обширные журналы событий, в которых фиксируются попытки разблокировки, использование биометрики, установка, удаление и запуски приложений, изменения состояния системы и другие события, происходящие как по инициативе пользователя, так и в фоновом режиме. Эти логи создаются непрерывно и, если их корректно извлечь, могут отразить подробную картину использования устройства с точностью до минуты.

Apple Watch также создают унифицированные логи, но записи в них в основном описывают события, связанные с физической активностью и параметрами организма пользователя, движением, подключениями и коммуникацией. Хотя такие логи менее детализированы по сравнению с iOS, они всё ещё могут содержать важные сведения, особенно в тех случаях, когда часы сопряжены с iPhone. Из-за отсутствия службы резервного копирования в часах Apple Watch, журналы предоставляет уникальную возможность получить данные в отсутствие других источников информации.

Apple TV, в свою очередь, фиксирует в логах изменения состояния системы, действия, связанные с воспроизведением контента, сетевую активность и взаимодействия с пользовательским интерфейсом. Хотя такие устройства реже становятся объектами криминалистического анализа, они могут сыграть важную роль в делах, связанных с использованием техники в пределах домохозйства; с их помощью можно установить факт физического присутствия человека (но не конкретного пользователя).

HomePod создаёт логи, в которых отражаются взаимодействия с голосовым помощником Siri, сетевые подключения, воспроизведение контента. Такие данные представляют интерес прежде всего в контексте анализа голосовых команд (в логах присутствует только факты о том, что команда была подана, без содержания самой команды или, тем более, записи голоса) и сценариев использования устройства. Так же, как и в случае с Apple TV, c помощью извлечённих из колонки журналов можно установить факт физического присутствия человека.

В контексте журналов событий нельзя не упомянуть и про macOS. В этой ОС журналы событий намного более насыщенные по сравнению с мобильными устройствами. Они могут оказаться полезными в самых разных расследованиях, позволяя восстановить информацию о входах в систему, действиях с файлами и сетевыми подключениями и многом другом. Впрочем, их подробный анализ выходит за рамки данной статьи.

Далее мы рассмотрим, как формируются и извлекаются унифицированные логи на разных устройствах, а также что именно можно из них узнать.

iPhone и iPad (iOS / iPadOS)

Криминалистический потенциал

iPhone и iPad создают обширные журналы событий, фиксирующие широкий спектр пользовательской и системной активности. В логах отражаются события биометрики (сканирования Face ID и Touch ID и их результаты), попытки разблокировки (как успешные, так и неудачные), время запуска приложений, изменения ориентации экрана, сетевые подключения и переходы между режимами питания. Эти записи позволяют получить детализированное представление о поведении пользователя.

Создание логов sysdiagnose

Существует несколько способов создания логов для этих устройств. Apple рекомендует следующий порядок действий:

Создание sysdiagnose с помощью кнопок

Нажмите и одновременно отпустите обе кнопки громкости и боковую (или верхнюю) кнопку на 250 миллисекунд. После этого нужно подождать порядка 10 минут. Если удерживать кнопки дольше одной секунды, устройство просто заблокируется.

Примечания:

• При нажатии кнопок также будет сделан снимок экрана.
• Сбор sysdiagnose начинается после отпускания кнопок.
• На iPhone об успешном запуске сигнализирует короткая вибрация (на iPad вибрации не будет).

Также доступен альтернативный способ, более сложный, который рекомендуется использовать только при невозможности запуска сбора логов с помощью кнопок из-за аппаратных неисправностей.

Использование  AssistiveTouch

1. Включите AssistiveTouch в меню Settings > Accessibility > Touch > AssistiveTouch. На экране отобразится плавающая кнопка «домой».
2. Перейдите в Settings > Accessibility > Touch > Customize Top Level Menu.
3. Выберите Custom > Analytics. Рядом появится отметка (✓).
4. Запустите сбор sysdiagnose, используя выбранное выше действие (например, двойное нажатие).

Примечания:

• В верхней части экрана появится серая полоса, указывающая на начало сбора логов, а затем вторая — после завершения.
• Сбор данных может занять до 10 минут.

Apple Watch (watchOS)

Криминалистический потенциал

Журналы Apple Watch содержат данные о физической активности и состоянии организма пользователя, события подключения, взаимодействие с приложениями и информацию о сопряжении с iPhone. Эти логи менее детальны по сравнению с журналами iPhone, но они всё же полезны и их стоит исследовать.

Создание логов sysdiagnose

Apple предоставляет возможность сбора логов часов через установку специального профиля разработчика (.mobileconfig) на сопряжённый iPhone. После установки вызов sysdiagnose на самих часах позволяет собрать логи, относящиеся к процессам watchOS.

• Профили: Apple Developer (понадобится аккаунт разработчика Apple, подойдёт даже бесплатный).

Подробная инструкция

Сначала необходимо включить журналирование, установив профиль watchOS на сопряжённый iPhone (профиль действует в течение 3 дней).

Затем выполните следующие действия (согласно sysdiagnose_Logging_Instructions.pdf):

1. Скачайте профиль на сопряжённый iPhone.
2. Откройте его из тела письма.
3. Когда появится запрос, выберите «Apple Watch».
4. Нажмите «Установить», введите код (если потребуется), согласитесь с условиями и снова нажмите «Установить».
5. Перезагрузите устройство.
6. Запустите sysdiagnose, нажав и удерживая боковую кнопку и колесо на часах в течение двух секунд, затем отпустите.

Извлечение логов

Существует несколько способов доступа к логам; выбор зависит от наличия адаптера для подключения часов к рабочей станции.

Если у вас есть адаптер

Подключите часы к рабочей станции и используйте iOS Forensic Toolkit точно так же, как для iPhone.

Если адаптера нет

Логи можно переслать с часов на iPhone и извлечь их уже с телефона.

1. Поставьте часы на зарядную площадку.
2. Убедитесь, что iPhone находится рядом.
3. Ожидайте до 15 минут, пока файлы синхронизируются.

Примечания:

• Время создания логов зависит от модели, может занимать 15 минут и более.
• Модель первого поколения (Series 0) особенно медленная.
• Прямое подключение к рабочей станции возможно только при наличии специального адаптера. Иначе используйте альтернативный способ с передачей журналов на сопряжённый iPhone.

Apple TV (tvOS)

Криминалистический потенциал

Логи Apple TV содержат информацию о воспроизведении мультимедиа, навигации по интерфейсу, сетевых подключениях, событиях AirPlay и изменениях состояния системы. Такие логи могут помочь установить физическое присутствие человека (но не установить конкретного пользователя!) и проанализировать время активности, доступ к контенту и использование пульта ДУ.

Создание логов sysdiagnose

Apple предлагает инструкции для разработчиков, использующих профиль для tvOS с портала профилей. Логи можно собирать удалённо с сопряжённого Mac или через Apple Configurator после активации профиля.

Альтернативный способ (для Apple TV 4-го поколения) — удерживать кнопки PLAY/PAUSE и VOL- на пульте в течение 6 секунд. Когда кнопки будут отпущены, на экране появится окно подтверждения. Логи можно отправить на Mac через AirDrop. (sysdiagnose_Logging_Instructions.pdf)

Примечания:

• Если вы исследуете Apple TV 4-го поколения с портом USB-C или используете специальный адаптер, устройство можно подключить к рабочей станции и извлечь журналы событий с помощью iOS Forensic Toolkit.
• Если порта или адаптера нет, можно также создать логи, а затем передать их через AirDrop на Mac.

HomePod (audioOS)

Криминалистический потенциал

Унифицированные логи HomePod фиксируют события, связанные с работой Siri, сетевой активностью, воспроизведением звука, распознаванием команд и автоматизацией. Такие данные позволяют установить, когда и как пользователь взаимодействовал с устройством и какие команды были отданы.

Создание логов sysdiagnose

Как и в случае с tvOS, для HomePod необходим профиль разработчика с портала Profiles and Logs. После установки профиля можно вручную инициировать сбор логов через приложение «Дом».

Apple предлагает следующие инструкции:

1. Скачайте профиль и установите его на iOS-устройство. Важно: профиль должен быть установлен на iPhone/iPad, а не на сам HomePod, иначе кнопка «Экспорт аналитики» не появится.
2. Перезагрузите устройство, если появится соответствующий запрос.

Затем выполните следующие действия:

1. Откройте приложение «Дом» на устройстве с iOS.
2. Долгим нажатием откройте параметры плитки HomePod.
3. Нажмите «Настройки» (раньше — «Подробнее»).
4. Выберите «Аналитика».
5. Нажмите «Экспорт аналитики».
6. Держите устройство с iOS разблокированным до получения логов через AirDrop. Когда генерация журналов событий завершится, HomePod передаст их на устройство.
7. В AirDrop выберите «iCloud Drive» или приложение «Файлы» и нажмите «Добавить».
8. После завершения передачи нажмите «Готово».

Извлечение логов

Если у вас есть адаптер для подключения HomePod к рабочей станции, используйте те же методы, что и в случае с iPhone. Если адаптера нет, воспользуйтесь альтернативным способом через приложение «Дом» на устройстве с iOS.

Дополнительная информация

Системные журналы Apple хорошо изучены; по этой теме достаточно релевантной информации. Мы отобрали несколько статей, которые, на наш взгляд, могут представлять интерес.

Программы для парсинга и анализа системных журналов:

• cheeky4n6monkey/iOS_sysdiagnose_forensic_scripts: Mattia Epifani, Heather Mahalik and Cheeky4n6monkey
• EC-DIGIT-CSIRC/sysdiagnose: Forensic toolkit for iOS sysdiagnose feature
• Hexordia Sysdiagnose Log Toolkit — Hexordia
• abrignoni/iLEAPP: iOS Logs, Events, And Plist Parser

Общая информация:

• #UFADE now also offers a “slimmed down” version of the PRFS backup for Apple Watches (and Apple TVs). | Christian Peter
• Heather Mahalik-Using Apple Bug Reporting for Forensic Purposes
• Checkra1n Era — Ep 6 — Quick triaging (aka from the iPhone to APOLLO, iLEAPP and sysdiagnose in 6 minutes)
• Sysdiagnose in iOS 16: a first look from a Digital Forensics perspective
• iOS Crash Dump Analysis, Second Edition
• Sysdiag -who? | WithSecure™ Labs
• 8 Log files you can collect from iOS and Android devices — Magnet Forensics
• Initialization vectors: Extraction, Processing, & Querying Apple Unified Logs from an iOS Device
• iOS Mobile Installation Logs · DFIR Review

Что полезного и интересного можно найти в логах:

• Understanding Apple Unified Log: interpreting Key Artifacts — FaceID
• iOS Unified Logs — Introduction, Screen Unlock and App opening
• Don’t Trust the Clock: Timestamp Discrepancies in iOS Unified Logs
• Logs in a Sysdiagnose — It’s about time…
• Understanding Apple Unified Log: interpreting Key Artifacts — FaceID
• Thesis Friday #2:Screen Orientation as a Forensic Artefact in Apple Unified Logs

Немного о журналах событий macOS:

• The ultimate diagnostic tool: sysdiagnose – The Eclectic Light Company
• More useful information gleaned from sysdiagnose – The Eclectic Light Company

Заключение

В ближайшее время ожидается обновление iOS Forensic Toolkit, в котором мы серьёзно переработали и улучшили механизм извлечения журналов. Оставайтесь на связи!