2024年3月25日发(作者:)

手机取证——关于iPhone手机数据提取方式的探讨

编者按

在《技术视界》前13期中,数据恢复四川省重点实验室科研人员讲解了手机音频文件

提取、SQLite数据库文件恢复、手机APP取证脚本编写以及防御手机APP窃密等主题,本

期重点介绍iPhone手机(越狱和未越狱)数据提取的多种方式,可以有效提取各类应用数

据,包括文字、图片、声音、视频等各种多媒体信息。

随着移动通信技术的不断发展,手机也逐渐成为人与人之间不可或缺的联系工具,几乎

人人都会携带一部甚至多部手机。手机中各种APP会记录下大量信息,包括聊天、位置等,

这些信息很可能成为警方破案有效的辅助证据,所以对手机数据的提取很有必要。

目前Android始终是手机行业的老大,各个手机数据提取商对Android的支持也是首当

其冲。来自ZDC(互联网消费调研中心)手机品牌关注度的数据显示(如图1),2015年三星

毫无疑问位居第一,但我们也同时发现,iPhone手机紧随华为位居第三,所以对iPhone手

机数据提取的支持刻不容缓。下面将和大家一起来探讨iPhone手机数据的提取方式。

图1:苹果手机品牌关注位居第三

同Android手机一样,iPhone手机数据的提取也分两种情况越狱和未越狱。

一、未越狱手机数据的提取

未越狱手机主要通过备份和沙盒提取方式。目前8.3以上的系统不再支持沙盒提取,而

且也比较简单,故不再拿出来讨论。下面只针对备份方式进行简要说明。

1、数据备份

1 / 6

备份可通过两种方式实现:

(1) 通过iTunes直接备份。备份路径为XP:C:Documents and Settings用户名

Application DataApple ComputerMobileSyncBackup;WIN7及以上:C:Users

用户名AppDataRoamingApple ComputerMobileSyncBackup。

(2) 命令。如: -b --target

befd8222746f2d52b9f2f40e862444208b3d423f(设备id可在itools里查看) -q

"c:temp2016-05-18-15-37-42"

图2 命令

图2中是所有命令,我们只需要用到-b(备份)、-t(设备id)、-q(备份路径)就

好了(如红色框所示),其他没有用到的命令暂不做介绍。

2、数据分析

图3备份目录(红色框为明文文件)

如图3所示,打开备份目录可以看到一大堆40位16进制数组成文件名的文件,这些文

件就是APP的数据文件。面对这些符号复杂的文件,怎么才能知道这些文件是哪个APP产生

的数据呢?不急,图片下面有几个明文的文件,我们可以在这几个文件中找到想要的一些信

息。

(1)

这是一个plist格式文件,可用plist editor打开查看,其中包括用户信息、设备信

息、备份信息等等(如图4所示)。

2 / 6