[发明专利]一种解析IOS10备份数据的方法

摘要

本发明公开了一种解析IOS10备份数据的方法，包括以下步骤S1提取IOS10的备份数据包；S2匹配数据库名称；S3匹配数据库表格名称；S4匹配数据库表格中的字段名称；S5遍历关联数据属性；S6遍历Files数据表格的关联数据文件类型；S7关联文件数据的拷贝解析。本发明的有益效果如下通过文件关联数据库中的记录对备份文件进行数据关联；判断文件路径关联数据库；通过文件关联数据库中的记录对备份文件进行数据关联；可以快速对IOS10系统备份出的数据文件进行手机中路径名称的关联解析，用于后期数据取证分析。

主权项

一种解析IOS10备份数据的方法，其特征在于包括以下步骤：S1：提取IOS10的备份数据包；S2：匹配数据库名称；在IOS备份数据包中找名为Manifest.db的SQLite数据库，若找到则表示此备份数据包为IOS10系统数据包，执行S3；若没找到则是IOS10之前版本结束解析；S3：匹配数据库表格名称；在Manifest.db数据库中查找名为Files的数据表，若找到则执行S4，若没有找到则结束解析；S4：匹配数据库表格中的字段名称；在Files的数据表中查找fileID、domain、flags、file四个字段，若找到上述字段则执行S5；若没有找到则退出解析；S5：遍历关联数据属性；在Files数据表格中，提取file字段中的pilst格式数据；得到RelativePath数据、Birth数据、LastModified数据和LastStatusChange数据；S6：遍历Files数据表格的关联数据文件类型；在Files数据表格中的所有行的Flags值；记录值为1的行；S7：关联文件数据的拷贝解析；针对Flags值等于1的行；找该行数据的domain值中保存的数据域；用域名建立一个文件目录，再根据RelativePath数据的文件路径值依次建立多个子目录；最后将备份数据中fileID记录的对应文件名的文件拷贝到路径所描述的子目录中；更改文件名为路径中所描述的文件名，文件拷贝完成后通过Birth、LastModified、LastStatusChange三个时间数据，将拷贝文件的文件时间修改成手机中的对应文件的原始时间。