数据备份与取证方法

在测试iOS 13过程中，作者反复进行了数据备份、检查和修改的过程。苹果在此次更新中对数据存储位置做了一些调整，其中加密变得至关重要。

目前，Physical Analyzer的Method 1和Method 2尚未支持iOS 13，因此作者使用iTunes进行备份获取。建议进行加密的iTunes备份，因为这样可以获取健康数据、钥匙串、Safari、通话记录、地图和钱包等数据。

关键证据位置分析

位置未变的证据

• 联系人：/var/mobile/Library/AddressBook/AddressBook.sqlitedb
• 短信/iMessage：/var/mobile/Library/SMS/sms.db
• 照片：/var/mobile/Media/PhotoData/Photos.sqlite

有轻微变化的证据

• 通话记录：/var/mobile/Library/CallHistoryDB/CallHistory.storedata

  需要加密备份才能获取数据，同时新增了CallHistoryTemp.Storedata文件。

• 健康数据：/private/var/mobile/Health

  需要检查healthdb.sqlite和healthdb_secure.sqlite数据库。

路径发生重大变化的证据

• Safari历史记录：/var/mobile/Library/Safari/History.db

  Safari的history.db不再位于com.apple.mobilesafari目录中，而是回到了Safari目录。现在只有加密备份才能获取Safari历史记录，未加密备份仅能获取书签和Safari的虚拟登录信息。

  另外，Safari在启动时可能会默认进入私密浏览模式，这种情况下history.db中将找不到任何内容。

• 地图数据：

  • History.mapsdata：iOS 11之前的搜索记录
  • GeoHistory.mapsdata：iOS 11及更新版本的搜索记录

  如果地图数据完全缺失，可能是因为用户启用了地图的云设置。此时数据可能存储在group.com.apple.Maps.plist中，位置为：/var/mobile/Applications/group.com.apple.Maps/Library/Preferences/

工具支持情况

在测试时，并非所有工具都能正确解析Safari历史记录，因为许多工具仍假设数据库位于mobilesafari目录中。Physical Analyzer、BlackLight和AXIOM在获取加密备份的情况下能够正确解析iOS 12和13中的所有搜索记录。

对于地图数据，只有部分工具能同时解析history.mapsdata和Geohistory.mapsdata，存在重大解析差距。

重要建议

1. 测试验证工具：不要依赖厂商的博客文章，务必自行测试和验证工具
2. 使用加密备份：加密备份对于获取完整证据至关重要
3. 检查用户设置：Safari的私密浏览模式和地图的云设置会影响数据可用性
4. 手动验证：对于关键证据，建议手动检查相关数据库文件以确认工具解析的准确性