iPhone手机数据提取分析（一）

原始backup数据的提取

---

1. 一直觉得微信聊天记录备份是一个麻烦事情，最近发现微信占用的空间越来越大，又舍不得删除，想着能够实现自动化备份微信聊天记录等信息。在互联网上看到有可以备份微信聊天记录的工具，但是是收费的。我觉得既然别人能备份，我们自己也应该可以试着做到。
2. google了下，发现可以通过iTunes来备份手机数据。备份后，数据会保存在~/Library/Application Support/MobileSync/Backup目录下面。可以通过shift+command+g 然后输入地址直接跳转到该目录下。该目录下有备份的文件夹，随便选一个，进入之后，里面有：Info.plist、Manifest.mbdb、Manifest.plist、Status.plist等文件。
3. 通过对这些数据进行分析，觉得Manifest.mbdb应该是一个数据库一样的文件，存储着各种信息，所以查了下怎么解析这个文件。
4. 通过对Manifest.mbdb解析，看到了很多的文件以及对应的目录。这些应该就是备份的文件列表。然后试着对这些列表进行还原。通过Manifest.mbdb可以得到当前目录里面的这些文件对应关系。然后根据这些文件的信息，进行还原。

---

提取数据的Python脚本

#!/usr/bin/env python

#~/Library/Application Support/MobileSync/Backup

import sys
import os
import hashlib
import shutil

mbdx = {}
dict = {}

def getint(data, offset, intsize):
    """Retrieve an integer (big-endian) and new offset from the current offset"""
    value = 0
    while intsize > 0:
        value = (value<<8) + ord(data[offset])
        offset = offset + 1
        intsize = intsize - 1
    return value, offset

def getstring(data, offset):
    """Retrieve a string and new offset from the current offset into the data"""
    if data[offset] == chr(0xFF) and data[offset+1] == chr(0xFF):
        return '', offset+2 # Blank string
    length, offset = getint(data, offset, 2) # 2-byte length
    value = data[offset:offset+length]
    return value, (offset + length)

def process_mbdb_file(filename):
    mbdb = {} # Map offset of info in this file => file info
    data = open(filename).read()
    if data[0:4] != "mbdb": raise Exception("This does not look like an MBDB file")
    offset = 4
    offset = offset + 2 # value x05 x00, not sure what this is
    while offset < len(data):
        fileinfo = {}
        fileinfo['start_offset'] = offset
        fileinfo['domain'], offset = getstring(data, offset)