分析目标
提取iPad中安装的新浪微博HD应用的相关内容。
通过第三方软件,将iPad中安装的新浪微博HD应用文件夹导出,文件结构如下图
树形结构
根目录
分析结论
1. Ipad上的新浪微博应用“微博HD”取证与android平台应用取证类似,大部分数据采用明文保存,包括用户名和密码等信息
2. Ipad版微博应用比android存储结构复杂,但所有数据存储方式基本类似,均采用UTF-8编码
分析过程
1. Documents目录
该目录包含data_cache、user_wallpapers和user_wallpapers_tmb三个子目录
l data_cache
该目录下包含几个文件
n 1497xxxxxx_home_timeline:此文件是最后一次打开微博HD应用程序时,主界面显示的所有微博更新的内容,如下图
n 1497xxxxxx_home_updatetime:此文件显示的是微博HD应用最后更新所有微博的时间,时间为GMT时间,换算北京时间需加8小时,如图
n Ipadvip_exist:该文件保存了使用微博HD应用登录的微博ID,我们可以直接用http://weibo.com/%id%打开查看作者
l user_wallpapers
该目录为用户在微博HD中自定义桌面主题的图片,如未自定义桌面主题,则该文件夹为空。
l user_wallpapers_tmb
l 该目录为用户在微博HD中自定义桌面主题的图片的缩略图,如未自定义桌面主题,则该文件夹为空。
2. Library目录
该目录包含Caches、Cookies和Preference三个目录
l Caches
n Com.apple.pep.configuration.plist文件
系统文件
n Snapshots文件夹
默认为空
n Weibo文件夹
该目录下是微博中包含的用户头像和微博图片的缓存
l Cookies目录
n Cookies.binarycookies文件
该文件为微博中包含的网址访问后所记录的cookies文件(如视频url)
l Preference目录
n Com.sina.weibohd.plist
该文件记录了安装微博HD的ipad的一些配置信息,包括登录名、密码、微博ID、昵称、个人简介等。
3. Webkit目录
l LocalStorage目录
空目录或视频网站SQL Lite缓存
4. Tmp目录
空目录(临时目录)
5. WeiboHDPro.app
目录结构
l English.lproj
n InfoPlist.Strings
n Localizable.strings
l SC_Info
n WeiboHDPro.sinf
该文件包含微博帐户关联的姓名
n WeiboHDPro.supp
*应用程序提供商信息*
l Zh_CN.lproj 中文资源
n Localizable.Strings
l Zh_TW.lproj 繁体中文资源
l _CodeSignature
本应用程序所有资源列表及签名信息