文章总结： 文章披露Cellebrite取证iOS/Android后遗留的三类痕迹：iPhone配对日志出现固定HostID与SystemBUID，checkm8漏洞机崩溃日志含com.cellebrite.bruteforce队列及mnm进程与NVRAM变量，安卓侧短暂安装又删除包名com.client.appA，均可在DLL签名与系统日志中检出，为识别设备曾被取证提供可验证指标。 综合评分： 82 文章分类： 数字取证,移动安全,威胁情报,漏洞分析,安全工具

以色列Cellebrite设备取证手机后遗留的痕迹特征

原创

黑鸟 黑鸟

黑鸟

2026年1月23日 23:46 广东

Cellebrite DI Ltd.（简称 Cellebrite）是一家全球领先的数字情报（Digital Intelligence）和数字取证解决方案提供商，总部位于以色列佩塔提克瓦（Petah Tikva），成立于1999年。

主要业务和产品Cellebrite 提供端到端的数字调查平台（Case-to-Closure Platform），覆盖数据收集、审查、分析和管理全流程。

UFED（Universal Forensic Extraction Device）为行业标准移动取证工具，能从各种智能手机、平板等设备中合法提取数据，支持iOS、安卓等系统。

Physical Analyzer：用于深度审查和分析提取的数据。

Inseyets：AI驱动的调查解决方案。

Responder、Digital Collector、Pathfinder 等工具，支持实时采集、远程收集和案件管理。

企业级产品如 Endpoint Inspector，用于企业端点数据管理。

可以说境外各行各业都有使用该设备进行取证分析的情况存在，行业主要为公共安全（Public Safety）、企业（Enterprise）以及联邦/国防三大类。截至2025年最新公开数据，公司全球客户超过7,000家，技术每年支持超过150万次合法授权调查，收入90%以上来自政府和公共部门机构，大部分为执法行动。

黑鸟通过外部消息，总结关于Cellebrite取证手机设备后遗留的痕迹特征如下。

首先需要提及情况：2024 年末，苹果在 iOS 18 中引入了一项安全功能，该功能允许 iPhone 在连续 3 天（或 72 小时）无活动后自动重启，将手机状态从 AFU（高级无操作模式）切换到 BFU（基本无操作模式）。类似的可选功能于2025 年 4 月在 Android 手机上推出，对应 Google Play 服务版本 25.16。

当iphone被脸部解锁后，该Cellebrite设备可以通过未知手法，获取到iphone的解锁密码。

取证记录显示，该设备在进行Cellebrite数据提取的前一天重启过，因此在提取数据之前处于首次解锁前（BFU）状态。

BFU是指设备重启后尚未解锁的状态。与首次解锁后（AFU）状态相比，设备处于BFU状态时，其内容加密更加安全。

特征1：

iPhone 通过 USB 连接到Cellebrite设备时，该设备使用

HostID 9016926980658937761372207 和 SystemBUID 30313996-42072961236303456 进行自我识别。

这两个特征，分别出现在Cellebrite 数字签名的 DLL 文件中，包括“CellebriteMobileAgent/iPhoneLib.dll”。

handle_pair: Pair message: {

PairRecord =     {

DeviceCertificate = [..]

HostCertificate = [..]

HostID = 9016926980658937761372207;

ProtocolVersion = 2;

RootCertificate = [..]

SystemBUID = “30313996-42072961236303456”;

};

Request = Pair;

}

特征2

Cellebrite设备取证存在公开的checkm8漏洞的iphone时，这部 iPhone 的崩溃日志显示，一个名为mnm 的进程曾在该设备上运行。

手机显然是从 RAM 磁盘启动的，这表明安全启动已被绕过，可能就是通过checkm8实现的。

崩溃日志显示， mnm进程有一个名为“com.cellebrite.bruteforce”的调度队列。

“24”：{…，“procname”：“mnm”，…，“dispatch_queue_label”：“com.cellebrite.bruteforce”，…}

手机上还设置了几个以“mnm-”开头的NVRAM变量（NVRAM变量可用于在文件系统之外保存设备重启后的状态），因此进程名mnm或以“mnm-”开头的NVRAM变量大概率是由Cellebrite的工具设置的。

特征3

Cellebrite取证的安卓设备的取证记录时，会安装了一个名为 com.client.appA 的软件包。

START DELETE PACKAGE: observer{██████████} pkg{com.client.appA}, user{█}, caller{█} flags{█} START INSTALL PACKAGE: observer{██████████} stagedDir{/data/app██████████.tmp} stagedCid{null} pkg{com.client.appA} Request from{null}

package=com.client.appA totalTimeUsed=”00:24″ lastTimeUsed=██████████ totalTimeVisible=”00:26″ lastTimeVisible=██████████ lastTimeComponentUsed=██████████ totalTimeFS=”00:00″ lastTimeFS=”1970-01-01 02:00:00″ appLaunchCount=2 fgServiceLaunchCount=0

该软件包随后不久被删除，该软件包名称出现在Cellebrite 公司数字签名的 DLL 文件中，

例如“CellebriteMobileAgent\CellewiseLib.dll”。

还有一些其他资料，后续看情况不定期分享。

iOS 系统封锁记录

主机 ID：9016926980658937761372207

系统版本：30313996-42072961236303456

iOS崩溃日志

进程名称：mnm

 服务名称：com.cellebrite.bruteforce

Android 软件包

软件包 ID：com.client.appA

更多实时情报可扫码查阅

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：黑鸟 黑鸟 黑鸟《以色列Cellebrite设备取证手机后遗留的痕迹特征》