被駭出來的經驗，先前防毒軟體開發商卡巴斯基的部分員工遭到攻擊，他們的iPhone 被透過某種方式植入了間諜程序，卡巴斯基透過內部網路的流量監控發現異常，之後這起攻擊被稱為三角測量。

目前卡巴斯基仍在繼續追蹤三角測量攻擊，經過研究後卡巴斯基研究人員發現一種可以快速偵測iPhone 是否被植入間諜軟體的方法。

以往要想偵測是否被植入惡意軟體，需要將整個iPhone 備份，然後透過備份資料來排查是否有異常，現在卡巴斯基發現一種輕量級的偵測方法：iShutdown。

shutdown.log 是日誌文件，卡巴斯基研究以色列間諜軟體開發商NSO 集團的飛馬間諜軟體(Pegasus)、以色列間諜軟體開發商QuaDream 的Reign 間諜軟體以及以色列間諜軟體開發商Intellexa 的Predator 間諜軟體發現了一些共同點。

它們的共同點都是會在裝置重啟日誌中留下某些痕跡，簡單來說，由於所有間諜軟體都希望能夠持久化，所以也要透過某種方式長時間駐留後台。

所以在iPhone 重啟時這些間諜軟體相關的進程會阻礙系統的重啟過程，進而導致重啟時間稍微延長，而係統也會在日誌中留下相關條目用來記錄這些事件。

調查發現以色列三家商業間諜軟體開發商都使用類似的檔案系統路徑：/private/var/db/ 和/private/var/tmp/

卡巴斯基稱用戶頻繁重啟iPhone 的情況下更容易在日誌中觀察到相關條目，因此後續只需要提取shutdown.log 即可用來分析iPhone 是否感染了間諜軟體。

需提醒的是shutdown.log 並不是系統自己產生的，iOS 系統主要透過sysdiag 來記錄日誌，因此實際使用時需要產生並匯出shutdown.log，匯出的檔案大約在200~400MB 之間，格式為.tar .gz，解壓縮後需要的日誌在system_logs.logarchiveExtra 中。

為此卡巴斯基使用Python 編寫了一個腳本，該腳本可以自動搜尋匯出的日誌中存在的異常條目，如果發現異常條目那就需要研究人員仔細檢查對應的日誌內容，從而分析是否被感染間諜軟體。

最後，針對卡巴斯基的三角測量攻擊具體發起者是誰暫時還不清楚，三角測量攻擊使用的間諜軟體為新軟體，並不是以色列那幾家商業間諜軟體開發商製作的。

附加連結：https://github.com/KasperskyLab/iShutdown