摘要：

本次内容主要讲解iphone8取证，算是年前最后一篇了，大家将就着看哈

本次使用的工具：

ileappGUI.exe
github一款开源且免费的移动介质取证工具
Magnet Axiom Cyber
一款付费的移动介质取证工具
DB.Browser.for.SQLite-3.12.2-win64
一款免费的数据库查看工具
DCode v5.5
一款适用于多种格式解码的小工具

正式开始：

帕特里克的购物清单上有多少件商品？

使用两款工具都可以对这道题进行解答


答案：4个

手机的地图里最后一个定位的经纬度是什么？

参考：
https://theforensicscooter.com/2021/09/22/iphone-device-speeds-in-cache-sqlite-zrtcllocationmo/
在ileappGUI工具上找到了map地图信息，但是输入后发现都不对，于是在上网查找关于iphone位置信息的内容的时候，发现了上述的文章，原来iphone的位置信息在这里

Jess_CTF_iPhone8\fb028ddefa8af7df5b12d3e729f075d150637a31_files_full\private\var\mobile\Library\Caches\com.apple.routined\Cache.sqlite
使用sqlite工具打开这个数据库文件

直接选中ZRTCLLOCATIONMO 表而后拉到最下面的就是最后的位置信息了
38.84412765, -77.28686523

手机上一次重新启动的时间是什么？

2022-02-14 11:44:13

帕特里克的 Reddit 帐户是什么时候创建的？

这个不得不借助Magnet Axiom Cyber取证工具了

2022-01-21 21:59:38

帕特里克最近卸载了哪个应用程序？

WeChat

帕特里克 从 Reddit 收到的最后一条通知中的消息内容是什么？

Kornbread and Jorgeous are still Making Fun of Cynthia’s Car Crash…
不知道为什么， Axiom搜索不到这个消息

帕特里克对工作标签标记的颜色所对应的十六进制是什么？

这个题就有点烦人了，因为新版本的取证工具已经把颜色和标题选项给合并到一起了，那么我又如何得知他的十六进制代码是啥


#CC73E1FF

帕特里克有多少封促销类别的电子邮件未读？

这个是真没找到

帕特里克的提示铃声是什么？

帕特里克的蜂窝服务即将到期了，你知道他具体的到期时间吗？

05/02/22

哪个应用程序的屏幕使用时间最多？

直接按照软件是不行的，因为这个屏幕使用时间他没有做统计，所以需要把数据导出来，然后单独计算求和



选择导出后直接打开，此处使用wps打开，因为wps有一个叫数据透视表的功能，简单来说就是它可以将重复的项目合并到一个，然后用来求和，但是不知道为啥，我说啥也求不出来和


最后还是TM的手动求和算出来的，com.moxco.bumble的使用时间为2686，所以他才是最多的

帕特里克的 Reddit 账户头像代表什么动物？答案为该动物的缩写

我们返回到第4个问题

访问源文件

其实我也不知道这个是不是，因为这个Reddit我也没用过

从Bumble 上的消息中发送给 帕特里克的 GIF动态图片的文件名是什么？

无语子，名字在这呢，猜焖呢这是

帕特里克记录了一个生活照片，他拍摄照片的时候正在朝哪个方向移动？

这道题就有点难为人了…这谁能通过照片推断出来人往哪走，而且这个照片其实挺多的，如果不是凑巧就一张，鬼知道拍摄现场的照片指的是哪一个


G了，狗屁看不出来

帕特里克近期搜索了一次他的ip位置，请问他最早是什么时候搜索的ip信息？

访问以下网站，下面的网站可以还原访问url的信息
https://dfir.blog/unfurl/

解码的话，因为老外的时间戳和咱们的略有不同，所以
https://gchq.github.io/

然后就发现时间错了，后来看人家的，发现并不是UTC，问题是我哪知道他是那里的人啊
这道题应该是关联14题，14题应该是需要拿到坐标，拿到坐标之后就知道人家是哪里人哪个时区了，问题是臣妾办不到啊

为什么不能按照取证工具的来呢