图8:定义数据处理方法
4、配置特征库文件
配置特征库文件,是脚本编写中比较重要的一步,是实现同类别删除数据提取的关键步骤,需要借助“Sqlitecharactor特征库配置for sqlite2015”这一软件来实现。比如以图9中的蓝色条部分为例,通过给“tb_usermsg_12503**810配置特征库文件,可以实现所有这个名称格式的正常和删除文件提取。
图9:配置特征库文件
图10:生成的特征文件
图11:载入特征文件
自此,特征库文件配置完毕。为验证其正确性,我们可以通过Sqlite手机数据恢复工具进行检测效果,如图12所示。
图12:Sqlite手机数据恢复工具显示的删除内容(红色框部分)
效率源Sqlite手机数据恢复工具,是一款针对智能手机删除数据恢复、数据解密的软件,功能强大、准确率高。基于sqlite数据库文件,能够实现正常数据快速全面导出、删除丢失数据快速恢复导出、加密数据快速解密还原成可读信息。经验证(如图12),该特征库能够实现删除数据提取(红色框部分)。
5、脚本运行
通过在js里载入特征文件,然后把特征文件、“百度贴吧”脚本、“百度贴吧”图标放入SPF里面,然后运行就能提取恢复苹果手机里的“百度贴吧”数据了。
图13:加入“百度贴吧”脚本到SPF
三.总结
通过以上介绍我们已经大概了解了IOS“百度贴吧”恢复数据的脚本开发过程,如果想熟练掌握还需要多动手练习,最主要的是需要了解应用数据的数据库储存结构以及对js语言的掌握,同时,也需要借助SPF9139物理镜像、脚本编辑器XLYScriptVisualStudio等软件。有一点必须注意,配置特征库文件是提取删除数据的必要步骤,如果只是解析正常数据,就不需要这个步骤。无论是Android还是iOS系统手机里的应用,基本都可以通过脚本插件载入SPF9139的方式,快速提取正常数据及恢复删除数据,且能导出相应的报告,以便于快速方便地取证。