iOS 13取证要点总结

对于没有时间阅读完整技术文档的读者，这里提供一份简要总结：

备份加密要求

首先，如果备份未加密，您将无法获取以下数据：

• 地图
• 通话记录
• Safari浏览器数据
• 健康数据
• 钥匙串
• 钱包数据

苹果似乎加强了数据保护机制，因此必须加密备份才能提取数据。在完整博客中我使用了iTunes进行测试，同时测试了PA 7.24的方法1（启用加密），方法2仍在进行中。加密备份效果很好，得到了预期的数据。简单来说：要么加密锁定，要么获取有限数据。

Jessica Hyde写了一篇关于在使用iTunes创建备份时防止意外同步的文章：[链接地址]。如果您使用PA工具，则无需担心此问题。

关键文件路径

虽然详细内容仍需阅读完整博客，但以下是iOS 13中需要关注的重要文件路径：

• 联系人：/var/mobile/Library/AddressBook/AddressBookImages.sqlitedb
• 通话记录：/var/mobile/Library/CallHistoryDB/CallHistory.storedata
• 短信：/var/mobile/Library/SMS/sms.db
• 地图：/var/mobile/Applications/com.apple.Maps/Library/Maps/GeoHistory.mapsdata
• Safari：/var/mobile/Library/Safari/History.db
• 照片数据库：/var/mobile/Media/PhotoData/Photos.sqlite

技术变化

除了加密要求外，最大的变化是协议缓冲区（protobufs）的使用。Sarah Edwards正在撰写相关博客讨论此技术、设置选项以及这些设置如何决定数据存储在设备还是云端、Safari痕迹存储和加密机制。

请阅读完整博客获取所有技术细节，并关注我的iOS系列文章、网络研讨会等更新。

敬请期待下周发布的PA 7.24版本，以及我在Twitter上的#TipTues栏目，我将分享有用的技术内容。