IOS端微信取证


IOS端微信取证

1.通过备份获取数据库文件

image-20200517180621777

2.在文件夹中找到备份文件

​ 文件路径隐藏文件下,所以先显示隐藏文件Command+Shift+.

​ /Users/username/资源库/Application Support/MobileSync/Backup/

在文件夹里查找Manifest.db

image-20200517183355829

Manifest.db里面记录了各个 app 备份文件的存放状况,但数据太多,这里用sql语句查询下

image-20200517181714499

MM.sqlite就是微信的主要数据库

用fileID搜索文件

image-20200517182013289

把文件复制出来,并把后缀改为db

3.读取数据

ios微信数据库没有加密的,直接使用Navicat等工具直接打开即可

image-20200517183710525


Author: Free04kSec
Reprint policy: All articles in this blog are used except for special statements CC BY 4.0 reprint polocy. If reproduced, please indicate source Free04kSec !
 Previous
Java反序列化学习 Java反序列化学习
Java反序列化学习0x00前言Java中只需要实现java.io.Serializable或者java.io.Externalizable接口即可执行序列化操作 0x01构造序列化/反序列化构造一个调用类,其中,Exployee类实现了j
2020-06-10 Free04kSec
Next 
MacOS下微信取证 MacOS下微信取证
MacOS下微信取证1. 找到微信数据库文件​ ~/Library/Containers/com.tencent.xinWeChat/Data/Library/Application Support/com.tencent.xinWe
2020-04-13 Free04kSec
  TOC