经验之谈
注意:注销时间不等于电脑关机时间!
Fiddler 加载 saz 文件
如果没有start.exe,可以命令行打开.bat。
Navicat默认优先识别带.db/.sqlite后缀的文件,无后缀的SQLite数据库需手动选择“所有文件”才能打开,而DB Browser对无后缀的SQLite文件兼容性更强。
1,查经纬值
聊天记录查询:搜message找sqlite数据库,直接看原类型视图,看到最后的照片
找uuid:把照片的信息全部打开,找里边有许多-的uuid
照片搜索:先搜photo找到sqlite数据库,再拖出来放到Navicat打开,通过uuid找到那张图片
经纬
2、电话次数
找电话号码:iOS的通讯录存储在addressbook.sqlitedb.db里,具体是在里边的ABPersonFullTextSearch_content里,找电话
通话记录:iOS通话记录存在CallHiStory.storedata.db里,打开直接搜索电话
时间搜索:时间信息会存在ZCALLRECORD里,用时间戳转化软件转化看看
4,微信应用程序版本查询
在manifest.plist里会记录安装应用的版本,可以放到plist editor里查找tencent,找到版本string
5,多选
A查iOS版本,在刚刚的plist里搜ProductVersion可以看到版本
B在com.apple.commcenter.plist里搜索IMEI
C可以在火眼直接看见
D
6,Apple ID电子邮箱
直接火眼找(不知道为什么快速分析了好几次都没有,第三次才出现)
13,虚拟货币网址
域名一般包含wallet
14,浏览器记录搜索
找到iOS存储的数据库Safaritabs.db和Bookmarks.db,放到Navicat里找bet365
19,两张图像看似一样
哈希值肯定不一样
heic是Apple iOS和macOS的图片文件格式,用于处理图像和视频,在IOS 11系统开始代替原始视频和照片的H.264和JEP格式,这种格式与JPG格式相比,占用的空间更小,画质更加无损。也是苹果设备默认的图片格式
20,选择题做法
直接在数据库搜图片发现无法得知拍摄参数
因此我们只能把题目选项中的不同点塞进去一个个查,最后搜到这个photo数据库里只有A选项出来过
22,实况照片(live photos)
这个是基于heic的,所以找heic即可(主要是网上说livp是格式)
23,后置镜头拍摄的照片
直接搜back camera,出来的匹配的数目就是
(前置不清楚怎么搞,可能是front camera?不知道)
24,MesLocallD
问是什么类的文件,看见mes开头,先去fts message里边找找看,搜索发现这玩意是个结构,不是数据
然后去别的数据库找找看能不能找到这个结构
发现只有相片的文件里有这个结构224,所以这个指的是相片
Clara手机
26,问手机版本号
路径:/system/build.prop
说明:build.prop是Android系统一个重要的属性文件,记录了系统的设置和改变
主要信息类型:
1,ro.build.*(编译信息)
2,ro.product.*(设备信息)
3,ro.config.*(默认设置信息)
4,dalvik.vm.*(虚拟机信息)
等
27,imei码
我也不知道为什么会在淘宝
总之搜imei
然后fish_imei就在那边,然后点开来看,也是fish_imei,就是imei码了
(*imei:国际移动设备识别码)
28和33的电子邮箱不知道怎么看
35,问apk软件的版本
直接把源文件base.apk掏出来,然后塞到apk_info里,直接看版本即可
36,APP下载时间
在基本信息的应用列表能看见
41,问哪个数据库存了微信消息(不管什么消息都可以这样子做,42也行)
直接点微信消息跳转到源文件就是,很简单,答案是EnMicroMSG.DB
不然也可以试试看GPT(WhatsApp的存在msgstore.db里)
VeraCrypt关闭截图保护的方法
管理员模式打开PowerShell输入以下命令:
1 | Set-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Services\veracrypt' -Name 'VeraCryptEnableScreenProtection' -Value 0 -Type DWord |
——贡献者mzj和他的好朋友claude
