IOS取证常见程序位置

虽然做到也可能干成一把梭,以防万一用得上,也是参考了厂商的软件跟大佬的总结,之后有新的会再补充

设备自带

联系人

与 SQLite 数据库文件格式的个人联系人相关的应用程序位于 AddressBook 文件夹的 Library 文件夹中。此文件夹中有两个重要的数据库,一个是 AddressBook.sqlite.db,另一个是 AddressBookImages.sqlite.db

AddressBook.sqlite.db

提供每个联系人的姓名、电子邮件地址和电话号码等详细信息。此信息保存在表中。主要表是 ABPerson 和 ABMultiValue。

AddressBookImages.sqlite.db

与联系人关联的图像存储在此数据库中。当该联系人呼叫时,这些图像会出现在屏幕上。ABFullSizeImage 是将这些图像存储在 Database 中的表名。

日历

/private/var/mobile/Library/Calendar/Calendar.sqlitedb

此数据库文件包含与日历中可用事件相关的信息

/private/var/mobile/Library/Calendar/Extras.db

此数据库文件包含日历设置或与特定日历事件通知相关的详细信息等信息。

通话记录

/private/var/wireless/Library/CallHistoryDB/CallHistory.storedata.db

ios8后用这个文件

图像

Photos.sqlite

包含有关图像的信息

/private/var/mobile/Media/

包括两个文件夹

DCIM

包含用户创建的照片,如相机拍摄的照片或屏幕截图

PhotoData

包含与云和计算机同步的相册

缩略图

/Private/var/mobile/Media/PhotoData/Thumbnails/

笔记

/private/var/mobile/Library/Notes/notes.sqlite

Safari浏览器

Safari 书签

/Library/Safari/Bookmarks.db

搜索历史记录

Library/Preferences/com.apple.mobilesafari.plist

Safari 历史记录

Library/Safari/History.plist

未关闭的标签页(?)

SafariTabs.db

在火眼中显示为未关闭的标签页

短信

/private/var/mobile/Library/SMS/sms.db

配置文件

帐户和设备信息

/private/var/root/Library/Lockdown/data_ark.plist 包含设备及其帐户持有人的信息。

账户信息

/private/var/mobile/Library/Accounts/Accounts3.sqlite 中。此文件包含帐户信息。

设置应用程序的帐户信息

/private/var/mobile/Library/ DataAccess/AccountInformation.plist - 此文件包含用于设置应用程序的帐户信息。

飞行模式

/private/var/root/Library/Preferences/com.apple.preferences.network.plist

已安装的应用程序列表

/private/var/mobile/Library/Caches/com.apple.mobile.installation.plist

上述文件包含所有已安装的应用程序列表以及每个应用程序文件的路径。

AppStore 设置

/private/var/mobile/Library/Preferences/com.apple.AppStore.plist

可以从提到的文件中找到最后的搜索商店

配置信息和设置

/private/var/mobile/Library/preferences/

Apple 应用程序的设置和配置可以从上述文件夹的 plist 文件中提取。

网络信息

/private/var/preferences/Systemconfiguration/com.apple.network.identification.plist - 此 plist 文件包含 IP 网络信息缓存,如路由器、网络地址和以前使用的服务器。它还提供时间戳。

通知日志

/private/var/mobile/Library/BullitenBoard/ClearedSections.plist - 此 plist 文件中包含已清除通知的日志。

密码 IOS 10/9/8/7

/private/var/keychains/Keychain-2.db

SIM 卡信息

/private/var/wireless/Library/Preferences/com.apple.commcenter.plist - 此 plist 文件包含上次使用的 SIM 卡的 ICCID 和 IMSI。

Springboard

/private/var/mobile/Library/Preferences/com.apple.springboard.plist

此 plist 文件包含每个屏幕中的应用程序顺序

系统日志

/private/var/logs/

Wi-Fi 网络

/private/var/preferences/SystemConfiguration/com.apple.wifi.plist

已知的Wi-Fi网络、上次加入的时间戳和重要信息都可以从此文件中收集。

蓝牙连接

记录所有蓝牙设备配对

com.apple.MobileBluetooth.devices.plist

/private/var/containers/Shared/SystemGroup//Library/Database/com.apple.MobileBluetooth.ledevices.other.db

记录 iOS 设备检测到或进入范围内的低功耗设备。低能耗包括保持 “睡眠模式” 并在连接时唤醒的设备。

/private/var/containers/Shared/SystemGroup//Library/Database/com.apple.MobileBluetooth.ledevices.paired.db

记录与 iOS 设备配对的低功耗设备。

第三方应用程序

Facebook

账户信息

Library/Preferences/com.facebook.plist

可以从此文件中提取应用程序上已配置帐户的电子邮件地址和 Facebook ID。可以从此文件中检索上次使用应用程序的日期。

联系信息

Library/Caches/FbStore.db

个人资料图片

Library/Caches/ImageCache/

参考:https://www.infosecinstitute.com/resources/digital-forensics/ios-forensics/

posted @   正如天烛  阅读(39)  评论(0编辑  收藏  举报
相关博文:
阅读排行:
· CSnakes vs Python.NET:高效嵌入与灵活互通的跨语言方案对比
· DeepSeek “源神”启动!「GitHub 热点速览」
· 我与微信审核的“相爱相杀”看个人小程序副业
· Plotly.NET 一个为 .NET 打造的强大开源交互式图表库
· 上周热点回顾(2.17-2.23)
点击右上角即可分享
微信分享提示