手机取证
手机取证
彩信/短信取证
通常情况下安卓设备的短信/彩信数据都储存在以下文件夹中:
1 | /data/data/com.android.providers.telephony/databases/mmssms.db |
苹果备份短信位置通常都在
1 | HomeDomain/Library/SMS/sms.db |
OPPO备份
1 | /Basic/sms/sms.db |
SAMSUNG设备
1 | /data/data/com.sec.android.provider.logsprovider/databases/logs.db |
Android消息 - Bugle_db
Bugle_db 是 Android 消息应用内部使用的数据库。这个数据库主要用来存储和管理消息数据,包括短信、彩信以及 RCS(富通信服务)消息等。
1 | /data/data/com.google.android.apps.messaging/databases/bugle_db |
Android数据存储
Android应用可以在内部存储中创建和保存私有文件。
内部存储的路径通常类似于:/data/data/<package_name>/
分区
data分区
应用数据:/data/data/
/ 这个位置存储了应用的数据库、缓存、首选项以及其他与应用程序相关的数据。
系统信息:/data/system/
这个路径包含了一些系统级别的重要信息,比如设备的配置、系统设置、一些关键性质的日志文件等。
程序安装目录:/data/app/
这个路径包含了应用程序的安装文件。当你安装一个应用时,相关的 APK 文件会被复制到这个目录。
sdcard分区
图片/视频:sdcard/DCIM/Camera
这个路径是用来存储相机拍摄的照片和视频的默认位置。DCIM(Digital Camera IMages)目录是相机默认存储图像和视频的文件夹,其中 Camera 子文件夹是用来存放通过相机应用程序拍摄的照片和视频的默认位置。
应用公共数据:/sdcard/Android/Data
这个路径是用来存储应用程序的公共数据的位置。在这个路径下,每个应用都有一个专属的文件夹,文件夹的命名方式是应用的包名。
system分区
应用私有数据集:/data/data/
/ 这个路径包含了特定应用程序的私有数据和设置,类似于之前提到的
/data/data/<app-package-name>/
。每个应用程序都有自己的专属文件夹,用来存储应用的数据库、缓存、设置和其他与应用相关的数据。系统默认组件:/system/etc/
/system/etc/
路径包含了系统级别的默认配置文件。这些文件包括系统的一些默认设置、网络配置、权限控制和其他重要的系统级组件。用户文件夹:/system/usr/
/system/usr/
路径通常包含一些用户级别的系统文件。这个位置可能包含一些与用户相关的系统文件,例如某些特定用户配置文件、用户级别的默认设置或者一些特殊的用户级别组件。
iOS数据存储
HFS+文件系统
iOS使用HFS+(Hierarchical File System Plus)文件系统,一个HFS+卷一般包含6个数据结构,分别是:
- 引导块(Boot Block): 引导块位于卷的开头,包含引导信息和文件系统的基本参数。这个块用于启动设备,并包含了文件系统的关键信息,比如文件系统版本号和其他元数据。
- 超级块(Super Block): 超级块是文件系统的关键部分,它记录了整个文件系统的基本信息,包括卷的大小、空闲块数量、节点(Inode)的数量和位置等。超级块允许操作系统检索文件系统的基本属性和布局。
- 节点位图(Inode Bitmap): 节点位图记录了文件系统上节点(Inode)的分配情况。节点是文件和目录的元数据结构,节点位图指示哪些节点已经被分配给文件或目录。
- 块位图(Block Bitmap): 块位图记录了文件系统上数据块的分配情况。文件系统使用块来存储文件的实际内容,块位图记录了哪些块已经被分配给文件或者是空闲的。
- 节点区域(Inode Area): 节点区域存储了所有的节点,每个节点记录了一个文件或目录的元数据信息,比如文件大小、权限、所有者等。这些节点的索引信息和元数据组成了文件系统中文件和目录的结构。
- 数据区域(Data Area): 数据区域包含了文件系统上的实际数据块,用于存储文件的内容。这个区域包括了被分配给文件的数据块,存储着文件的实际内容。
iOS数据分区关键存储目录
- /private/var/db/ 这个目录存储着系统组件使用的数据库。它包括了诸如时区信息、设备获得的 DHCP(动态主机配置协议)信息等系统级别的数据。
- /private/var/keychains/ 存放了 iOS 设备中使用的密码和密钥信息。Keychain 是一个安全的存储区域,用来保存密码、证书、密钥和其他敏感数据。
- /private/var/lib/ 这个目录保存着已安装应用程序的状态信息。它包括了应用程序的一些状态、配置文件、临时文件等。
- /private/var/log/ 存储着系统生成的日志文件。这些日志文件包含了系统运行时的事件、错误信息、应用程序行为等重要信息。
- /private/var/mobile/ 这是用户主文件夹,包含了用户的个人数据和应用程序信息。在这个目录下,存储着已安装应用程序的相关数据、数据库信息、备份数据等。