在《技术视界》第11期中，数据恢复四川省重点实验室科研人员以途牛软件为例子，介绍了一种编写手机APP取证脚本的方法。该技术方案扩展性强，可助力一线取证人员有效应对暂不支持的APP数据提取问题。文章投放后，受到极大关注，很大一部分读者微信留言、致电询问Iphone手机APP取证脚本的编写方法。本期，针对本问题，以Iphone手机APP数据为例讲解正常数据与删除数据的提取。相比正常数据，删除数据的提取与解析难度非常大，脚本编写步骤也更复杂，除了填写分析文档、插件智能匹配、定义数据结构和数据处理方法，还需要配置特征库文件才能实现。

随着手机互联网的进步，手机APP应用越来越多，APP应用数据的分析就愈加重要。要实现APP数据分析，首先需要建立一个分析规范，因此分析人员应该更深入、更透彻、更全面地研究各类手机的各类应用APP，探索更多有效方法，抓取到更多有效信息，实现精准数据分析。做好APP应用数据的分析规范，可以较大地提高相关取证产品在实际应用中提取出更多、更全的数据。在第11期中，数据恢复四川省重点实验室科研人员已经详细讲解了APP取证脚本的编写流程与方法，这其实就是一种分析规范。对于暂不兼容的APP，一线人员可根据这种分析规范（或方法）自行编写取证脚本，提升兼容性。

一、数据提取1、解析应用APP

解析应用APP时，首先需要熟悉功能，了解数据存储结构。通过APP应用的主页，大致就能分析出数据的存储雏形，所以目测即可完成。下面，以APP“百度贴吧”为例详细讲解。

使用“百度贴吧”一段时间后，手机上就会产生一些数据（如图1），包括浏览历史、我的收藏、关注的人、我的粉丝、我的好友、消费记录、好友动态、我的吧动态等等。基于此，我们可以提取的信息大致包括好友信息（好友本身资料）、好友消息（聊天内容）、群组信息、群组消息、好友动态、浏览历史等。

▲图1：百度贴吧主页面

熟悉“百度贴吧”结构以后，可根据数据的重要性排列出提取顺序，以最重要的数据为最高点，依次降序处理。如图1，在分析时，可以首先把“我的好友”确定为重要数据（对于取证来说，所有数据都可能重要），将这个数据确定分析的入口，优先分析。当然，也可以选择“浏览历史”。

这里要注意，数据分析一定要全面、透彻，数据结构要严谨、层次。数据层次最好按照APP应用的呈现结构来处理，清晰明了，比如“百度贴吧”，就按照本身的数据结构来进行。

2、数据提取

对于iphone手机，可以通过SPF9139智能手机数据恢复取证系统的物理镜像提取数据，如图2：

▲图2：SPF9139镜像过程

▲图3：“百度贴吧”数据库文件