|
目前我手机是IOS6.13.手机是iPhone4S.越狱后网上下载了一大堆的教程,主要目标是取苹果的镜像.
我买过好几本有关苹果取证的书.
无奈,所有的镜像都是针对IOS4以下的系统来说的.
现在的苹果手机动不动就iPhone5 iPhone6的,估计用IOS4的不多了.
费话不多说了.上图:
ssh进去执行一下mount命令看到下面的结果:
发现苹果手机只有两个分区.一个是系统分区一个是用户数据分区.
系统分区挂载到了/ ,挂载的设备是/dev/disk0s1s1,文件系统是hfs
用户分区挂载到了/private/var,挂载设备是/dev/disk0s1s2,文件系统是hfs
通过特殊的方法把/dev/diso0s1s1取到电脑上.
然后用r-studio挂载这个镜像.
现在看到这个分区是从镜像的16MB处开始的,文件系统是HFSX,大小为1.26GB
现在展开这个分区.
各种目录展现在眼前了.还比较规则.
有人说,镜像后的数据都是加密的.
真的是这样的吗??
下面我们选一个jpg看一下.因为镜像的是系统区嘛,图片不会很多的.就随便选一个吧.
就以这个jpg为例进行说明吧.
我们主要看它的文件头以及能不能正常打开.注意,现在镜像文件在我的F盘的330Wang目录下.
Exif这个是什么东西呢??大家如果有一点数据恢复知识就知道了....这就是jpg的头类型.
再看下一个图:
熟悉iphone的都知道,这个图是什么东西......我的桌面.
哈哈至少到现在我还没有发现加密这一说.
哈哈.初步掌握了镜像的提取了......
下一步是把所有的镜像提取到电脑上.然后ios的图片删除就可以恢复了......
不知以后镜像的用户区有没有加密呢??
我们拭目以待吧....... |
|