技術領域

本發明涉及信息安全技術領域，特別涉及一種解析IOS10備份數據的方法。

背景技術

信息數據化時代智能手機是每個人不可或缺的通訊工具，人們在使用智能手機的過程中，智能手機中會產生大量的用戶數據，而這些數據通常可以通過一定方法被提取，用于數據取證。但IOS系統猶豫安全機制比較強，特別是目前最新的IOS10系統，只能通過數據備份的方式來提取用戶數據，而備份數據結構相對以往的系統版本有所改變，使其用以往的數據解析算法不能完成IOS10備份數據的解析。

發明內容

本發明針對現有技術的缺陷，提供了一種解析IOS10備份數據的方法，能有效的解決上述現有技術存在的問題。

一種解析IOS10備份數據的方法，包括以下步驟：

S1：提取IOS10的備份數據包；

S2：匹配數據庫名稱；

在IOS備份數據包中找名為Manifest.db的SQLite數據庫，若找到則表示此備份數據包為IOS10系統數據包，執行S3；若沒找到則是IOS10之前版本結束解析；

S3：匹配數據庫表格名稱；

在Manifest.db數據庫中查找名為Files的數據表，若找到則執行S4，若沒有找到則結束解析；

S4：匹配數據庫表格中的字段名稱；

在Files的數據表中查找fileID、domain、flags、file四個字段，若找到上述字段則執行S5；若沒有找到則退出解析；

S5：遍歷關聯數據屬性；

在Files數據表格中，提取file字段中的pilst格式數據；得到RelativePath數據、Birth數據、LastModified數據和LastStatusChange數據；

S6：遍歷Files數據表格的關聯數據文件類型；

在Files數據表格中的所有行的Flags值；記錄值為1的行；

S7：關聯文件數據的拷貝解析；

針對Flags值等于1的行；

找該行數據的domain值中保存的數據域；

用域名建立一個文件目錄，再根據RelativePath數據的文件路徑值依次建立多個子目錄；

最后將備份數據中fileID記錄的對應文件名的文件拷貝到路徑所描述的子目錄中；

更改文件名為路徑中所描述的文件名，文件拷貝完成后通過Birth、LastModified、LastStatusChange三個時間數據，將拷貝文件的文件時間修改成手機中的對應文件的原始時間。

作為優選，重復執行S7直至所有Flags值等于1的行拷貝解析完成。

與現有技術相比本發明的優點在于：通過文件關聯數據庫中的記錄對備份文件進行數據關聯；判斷文件路徑關聯數據庫；通過文件關聯數據庫中的記錄對備份文件進行數據關聯；可以快速對IOS10系統備份出的數據文件進行手機中路徑名稱的關聯解析，用于后期數據取證分析。

具體實施方式

為使本發明的目的：技術方案及優點更加清楚明白，以下舉實施例，對本發明做進一步詳細說明。

S1：提取IOS10的備份數據包；

S2：匹配數據庫名稱；

若在IOS備份數據包中找到名為Manifest.db的SQLite數據庫則表示此備份數據包為IOS10系統數據包，執行S3；否則在IOS10之前版本為名為Manifest.mbdb的數據庫，結束。

S3：匹配數據庫表格名稱；

Manifest.db的SQLite數據庫中應包含名為Files的數據表，該表中記錄了數據文件的關聯信息，若不包含此表格則退出解析。

S4：匹配數據庫表格中的字段名稱；

在Files的數據表中應包含fileID、domain、flags、file四個字段，其中fileID為備份數據的文件名，domain為該備份文件所在的域名，flags為在文件的類型，file為文件屬性以.plist格式保存，若包含上述字段則執行S5；若不包含以上四個字段則退出解析。

S5：遍歷關聯數據屬性；

在Files數據表格中，每一行數據代表一個文件或文件夾的關聯，提取file字段中的pilst格式數據

可以得到：

RelativePath數據，該值表示文件或文件夾所在手機中的路徑；

Birth數據，該值表示文件或文件夾所在手機中的創建時間；