虽然做到也可能干成一把梭,以防万一用得上,也是参考了厂商的软件跟大佬的总结,之后有新的会再补充
设备自带
联系人
与 SQLite 数据库文件格式的个人联系人相关的应用程序位于 AddressBook 文件夹的 Library 文件夹中。此文件夹中有两个重要的数据库,一个是 AddressBook.sqlite.db,另一个是 AddressBookImages.sqlite.db。
AddressBook.sqlite.db
提供每个联系人的姓名、电子邮件地址和电话号码等详细信息。此信息保存在表中。主要表是 ABPerson 和 ABMultiValue。
AddressBookImages.sqlite.db
与联系人关联的图像存储在此数据库中。当该联系人呼叫时,这些图像会出现在屏幕上。ABFullSizeImage 是将这些图像存储在 Database 中的表名。
日历
/private/var/mobile/Library/Calendar/Calendar.sqlitedb
此数据库文件包含与日历中可用事件相关的信息
/private/var/mobile/Library/Calendar/Extras.db
此数据库文件包含日历设置或与特定日历事件通知相关的详细信息等信息。
通话记录
/private/var/wireless/Library/CallHistoryDB/CallHistory.storedata.db
ios8后用这个文件
图像
Photos.sqlite
包含有关图像的信息
/private/var/mobile/Media/
包括两个文件夹
DCIM
包含用户创建的照片,如相机拍摄的照片或屏幕截图
PhotoData
包含与云和计算机同步的相册
缩略图
/Private/var/mobile/Media/PhotoData/Thumbnails/
笔记
/private/var/mobile/Library/Notes/notes.sqlite
Safari浏览器
Safari 书签
/Library/Safari/Bookmarks.db
搜索历史记录
Library/Preferences/com.apple.mobilesafari.plist
Safari 历史记录
Library/Safari/History.plist
未关闭的标签页(?)
SafariTabs.db
在火眼中显示为未关闭的标签页
短信
/private/var/mobile/Library/SMS/sms.db
配置文件
帐户和设备信息
/private/var/root/Library/Lockdown/data_ark.plist 包含设备及其帐户持有人的信息。
账户信息
/private/var/mobile/Library/Accounts/Accounts3.sqlite 中。此文件包含帐户信息。
设置应用程序的帐户信息
/private/var/mobile/Library/ DataAccess/AccountInformation.plist - 此文件包含用于设置应用程序的帐户信息。
飞行模式
/private/var/root/Library/Preferences/com.apple.preferences.network.plist
已安装的应用程序列表
/private/var/mobile/Library/Caches/com.apple.mobile.installation.plist
上述文件包含所有已安装的应用程序列表以及每个应用程序文件的路径。
AppStore 设置
/private/var/mobile/Library/Preferences/com.apple.AppStore.plist
可以从提到的文件中找到最后的搜索商店
配置信息和设置
/private/var/mobile/Library/preferences/
Apple 应用程序的设置和配置可以从上述文件夹的 plist 文件中提取。
网络信息
/private/var/preferences/Systemconfiguration/com.apple.network.identification.plist - 此 plist 文件包含 IP 网络信息缓存,如路由器、网络地址和以前使用的服务器。它还提供时间戳。
通知日志
/private/var/mobile/Library/BullitenBoard/ClearedSections.plist - 此 plist 文件中包含已清除通知的日志。
密码 IOS 10/9/8/7
/private/var/keychains/Keychain-2.db
SIM 卡信息
/private/var/wireless/Library/Preferences/com.apple.commcenter.plist - 此 plist 文件包含上次使用的 SIM 卡的 ICCID 和 IMSI。
Springboard
/private/var/mobile/Library/Preferences/com.apple.springboard.plist
此 plist 文件包含每个屏幕中的应用程序顺序
系统日志
/private/var/logs/
Wi-Fi 网络
/private/var/preferences/SystemConfiguration/com.apple.wifi.plist
已知的Wi-Fi网络、上次加入的时间戳和重要信息都可以从此文件中收集。
蓝牙连接
记录所有蓝牙设备配对
com.apple.MobileBluetooth.devices.plist
/private/var/containers/Shared/SystemGroup//Library/Database/com.apple.MobileBluetooth.ledevices.other.db
记录 iOS 设备检测到或进入范围内的低功耗设备。低能耗包括保持 “睡眠模式” 并在连接时唤醒的设备。
/private/var/containers/Shared/SystemGroup//Library/Database/com.apple.MobileBluetooth.ledevices.paired.db
记录与 iOS 设备配对的低功耗设备。
第三方应用程序
账户信息
Library/Preferences/com.facebook.plist
可以从此文件中提取应用程序上已配置帐户的电子邮件地址和 Facebook ID。可以从此文件中检索上次使用应用程序的日期。
联系信息
Library/Caches/FbStore.db
个人资料图片
Library/Caches/ImageCache/
参考:https://www.infosecinstitute.com/resources/digital-forensics/ios-forensics/
