macOS取证分析——Safari浏览器、Apple Mail数据和Recents数据库

最新推荐文章于 2026-02-16 06:36:30 发布
原创 最新推荐文章于 2026-02-16 06:36:30 发布 · 2k 阅读 · 25
标签
#macos #safari #macOS取证 #电子数据取证 #数据库
#sqlite #缓存

Safari是苹果设备的默认网络浏览器,会留下各种有助于取证分析的痕迹。这些痕迹存储的信息包括浏览历史记录、会话详情、缓存文件和访问网站的缩略图。了解Safari在 macOS上存储数据的位置和方式可以帮助调查人员获取更多有价值的信息。

Safari关键数据存储位置

Safari可在macOS中存储不同类型的数据。以下是可以找到取证痕迹的主要位置:

~/Library/Safari/

~/Library/Containers/com.apple.safari/

这些目录包含各种类型的浏览器相关数据,包括

  • 浏览历史
  • 缓存文件
  • 会话信息
  • 标签快照和缩略图
  • 下载文件
  • Cookies

Safari浏览历史

Safari会在名为History.db的SQLite数据库文件中跟踪用户的浏览活动。根据设备的不同,该数据库的位置也不尽相同。

macOS:~/Library/Safari/History.db

保存期限 

macOS:历史记录最长可存储一年(默认),但可配置为保留较短时间(一个月、两周、一周或一天)的数据。

跟踪iCloud同步的浏览活动

如果使用iCloud在不同设备间同步Safari历史记录,History.db中的来源字段将显示页面的访问位置:

  • 0—在此设备上访问过
  • 1—在其他连接iCloud的设备上访问过

History.db 中的两个主表存储着关键数据:

  • history_items——存储URL、域名和访问次数。
  • history_visits——包含访问时间戳(Mac Epoch格式)和网页标题。

Safari会话数据

Safari会保存与会话相关的信息,以帮助重建用户的上次浏览会话。在macOS上,会话数据的存储方式有所不同。

macOS:LastSession.plist (~/Library/Safari/LastSession.plist)

  • 以二进制plist格式存储标签页历史记录。
  • 如果未加密,则包含标签标识符、网页标题和URL。

Safari缩略图和快照

Safari可捕捉标签快照和缩略图,为打开的网页提供

最低0.47元/天 解锁文章
BinaryCookies.swift:Safari的`Cookies.binarycookies`文件的Cookie解析器
05-15
BinaryCookies.swift Safari的Cookies.binarycookies文件的Cookie分析器 Cookie数据 每个Cookie包含以下数据 期满 创建 领域 名称 小路 价值 安全的 http 用法 BinaryCookies. parse ( NSHomeDirectory () + " /Library/Cookies/Cookies.binarycookies " , callback : { ( error :BinaryCookiesError ? , cookies) in if let cookies = cookies { print (cookies); } else { print (error); } });
node-binary-cookies:Node的二进制cookie解析器
05-15
节点二进制cookie Node的二进制cookie解析器。 某些Apple浏览器(例如SafariMobile Safari)以难以解析的.binarycookie格式存储其cookie。 拯救节点! 假设您在/my/path/to/Cookies.binarycookies有一个文件。 您可以这样解析: var CookieParser = require ( './cookies' ) , p = CookieParser ( ) , cookiePath = "/my/path/to/Cookies.binarycookies" ; p . parse ( cookiePath , function ( err , cookies ) { console . log ( cookies [ 0 ] ) ; } ) ; 这将输出如下内容: { fl
Mac取证你需要了解的那些事!
CFLAB天宇宁达的博客
07-15 3064
1、苹果取证对工作人员基本能力的要求? 做苹果取证必须熟悉苹果设备,掌握苹果电脑的基本操作技能,掌握苹果电脑取证的注意事项。 2、勘查现场遇到苹果电脑第一步做什么? 3、苹果取证过程中需掌握的常用按键有哪些? 4、掌握如何进入Target目标磁盘模式对于取证有什么价值? 5、利用取证盘启动苹果电脑会遇到哪些常见问题? 6、苹果电脑镜像的常见格式有哪些? 7、启动苹果电脑的方法演变是怎么样的?哪个方法目前在取证中最适用呢? 等等
【Mac取证篇】macOS取证注意事项
蘇小沐的电子数据取证博客
04-14 2505
Mac 电脑会提供文件保险箱,这是一项内建加密功能,用于保护所有静态数据安全。文件保险箱使用AES-XTS数据加密算法保护内部可移除储存设备上的完整宗卷。搭载 Apple 芯片的 Mac 上的文件保险箱会通过使用宗卷密钥的数据保护 C 类来实施。在搭载 Apple 芯片的 Mac 电脑搭载 Apple T2 安全芯片的 Mac 电脑上,直接连接到安全隔区的加密内部储存设备会使用安全隔区的硬件安全性功能 AES 引擎的功能。用户在 Mac 上启用文件保险箱后,启动过程中将需要其凭证【蘇小沐】
iOS Cookies.binarycookies(俗称63数据)存取
志伟入归未有时(兴业和家)
06-21 4445
iOS 系统会自动将Safari或APP中网络请求的cookie保存为文件,APP的cookie保存路径为APP的沙盒路径:var/mobile/Containers/Data/Application/x-x-x/Library/Cookies/Cookies.binarycookiesCookies.binarycookies是二进制文件,文件结构有个魔术头:字符串:“cook”,二进制为...
brew 镜像_Macosx硬盘内存镜像取证
weixin_39992665的博客
11-03 365
Macosx硬盘内存镜像取证 在windows系统上,有winhex等神器,可以方便的完成镜像取证等工作,如何将macosx系统硬盘内存镜像数据给winhex等分析?除了通过dd等工具镜像为文件外,本文将介绍一个方法,将更方便的完成macosx硬盘数据镜像取证。 准备工作一台被镜像取证的mac电脑运行的Macosx系统一台电脑运行的Windows系统两台电脑要能通过网络通信,并且...
IOS 本地Cookies 读取方法
热门推荐
Elain 的渗透空间
03-22 1万+
Safari浏览器iOS应用程序将持久性Cookie存储在Cookies.binarycookies文件中。 这与其他桌面浏览器不同。 例如,Internet Explorer将持久Cookie存储在临时Internet文件夹下的文本文件中。 类似地,FirefoxChrome浏览器将Cookie存储在Sqlite数据库文件中。 读取存储在文本文件Sqlite数据库文件中的cookie非常容
iOS应用安全读书笔记之Safari书签
知其所以然
10-14 1372
iOS取证, iOS应用安全, Safari书签
macOS取证分析实战:使用osx-and-ios-security-awesome项目中的OSX Collectormac_apt工具
gitblog_00337的博客
02-14 761
macOS取证分析是网络安全领域的重要技能,而osx-and-ios-security-awesome项目为安全专家新手提供了丰富的macOSiOS安全工具资源。本文将聚焦该项目中的两款强大取证工具——OSX Collectormac_apt,通过实战案例帮助你掌握macOS系统取证的核心方法。 ## 为什么选择OSX Collectormac_apt进行取证? 在数字取证调查中,选择
macosac:数字取证利器,macOS系统下的文件证据采集
gitblog_00500的博客
04-02 816
macosac:数字取证利器,macOS系统下的文件证据采集 macosac,一个为macOS系统量身定制的数字取证工具,专注于收集系统中的文件证据其扩展属性。无论是实时磁盘数据还是Time Machine备份,macosac都能高效地完成采集任务。以下是对macosac项目的详细介绍。 项目介绍 macosac是一款数字取证(DFIR)工具,旨在帮助取证专家从macOS系统中收集关键文件证据。...
macOS取证工具解析:APFS Fusemac_apt使用指南
gitblog_00596的博客
12-26 856
在当今数字取证领域,**macOS取证工具**已成为调查人员必备的技能。随着苹果设备在企业环境中的普及,掌握专业的macOS取证技术变得尤为重要。本文将深入解析两款强大的macOS取证工具——APFS Fusemac_apt,帮助你快速上手数字取证工作。💻 ## 为什么选择macOS取证工具? macOS系统拥有独特的文件系统数据结构,传统的Windows取证工具往往无法有效处理苹果设备
推荐开源项目:AutoMacTC,macOS取证利器
gitblog_00083的博客
06-07 1023
推荐开源项目:AutoMacTC,macOS取证利器 在数字时代,安全事件响应调查变得日益重要,特别是在高度依赖苹果生态的组织中。今天,我们为您介绍一款强大的开源工具——AutoMacTC,它为macOS环境下的快速取证与系统诊断提供了一站式解决方案。 项目介绍 AutoMacTC是一款模块化设计的自动化取证收集框架,旨在对macOS系统中的各种法证痕迹进行访问、解析,并以易于分析的形式呈现。无...
二进制cookie解析工具
07-15
二进制cookie解析工具,可以解析ios格式的cookie信息
OSXAuditor:OS X Auditor是免费的Mac OS X计算机取证工具
02-28
OS X审核员 OS X Auditor是免费的Mac OS X计算机取证工具。 OS X Auditor在正在运行的系统或您要分析的系统副本上解析并散列以下工件: 内核扩展 系统代理守护程序 第三方的代理守护程序 旧的过时的系统以及第三方的启动项 用户的代理 用户的下载文件 已安装的应用程序 它提取: 用户的隔离文件 用户的Safari历史记录,下载,热门站点,LastSession,HTML5数据库本地存储 用户的Firefox Cookie,下载,表单历史记录,权限,位置登录 用户的Chrome历史记录存档历史记录,Cookie,登录数据,热门网站,网络数据,HTML5数据库本地存储 用户的社交电子邮件帐户 已审核系统已连接到的WiFi接入点(并尝试对其进行地理位置定位) 它还会在.plist本身中查找可疑关键字。 它可以在以下位置验证每个文件的信誉:
取证工具 iOS Forensic Toolkit: macOS\Windows\Linux 不同版本的比较
2302_82041293的博客
12-12 2078
ElcomSoft 公司致力于提供符合许可法规的数据取证解决方案,满足所有相关的法律要求。软件提供面向 iPhone/iPad/iPod 设备的取证功能。该软件有三种版本,分别用于 macOS、Windows Linux 版本系统。
macOS与iOS取证完全手册:基于ForensicsTools的移动设备调查技术
最新发布
gitblog_00113的博客
02-16 644
在数字化时代,移动设备已成为日常生活与工作的核心工具,其存储的海量数据使其成为数字取证的关键目标。macOS与iOS系统凭借独特的安全性与封闭性,为取证工作带来了特殊挑战。本文将基于**ForensicsTools**项目,为新手用户提供一套完整的macOS与iOS取证技术指南,帮助你从零开始掌握移动设备调查的核心方法与工具。 Forensics Tools项目logo ## 一、macOS
cookie简介及使用
Raily_Qi的博客
12-26 895
一、cookie是怎么工作的 存储cookie是浏览器提供的功能。cookie是存储在浏览器中的纯文本,浏览器的安装目录下会专门有一个cookie文件夹来存放各个域下设置的cookie。 当网页要发送http请求时,浏览器会先检查是否有相应的cookie,有则自动添加在request header中的cookie字段中。这些是浏览器自动帮我们做的,而且每一次http请求浏览器都会帮我们做。这个特...
iOS 中 Cookie的简单使用
why_not_的专栏
11-13 3181
iOS平台下每一个APP都有自己的Cookie,APP之间不共享Cookie,一个Cookie 对应一个NSHTTPCookie实体,并通过NSHTTPCookieStrorage进行管理。那些需要持久化的Cookie是存放在~/Library/Cookies/Cookies.binarycookies 文件中的二进制格式。 Cookie的生成途径有两种,一种是访问网页,网页返回的是HTTP H
读取cookie
lanqibaoer的专栏
04-30 734
读取cookie 1.设置cookie到客户端         Cookie c1 = new Cookie("username","hzh");             response.addCookie(c1);                          Cookie c2 = new Cookie("password","123");             //设
webpack的配置与使用
qq_45112567的博客
06-14 605
安装配置webpack 先再项目中使用npm init -y 命令初始化一个package.json文件; 新建一个名字为src文件夹,将静态资源放入该文件夹中; 运行npm install webpack webpack-cli -D 命令,安装webpack相关的包; 再项目根目录中,创建名为webpack.config.js 的webpack文件; 在webpack的配置文件中,初始化基本配置; module.exports={ mode:'development'//项目上线时需要将这个改为prod
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Doris Liu.

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值