文章总结： 本文是一份聚焦于iOS设备数据库手动解析技术的电子物证分析指南，以2024美亚杯EmmaMobileImage检材为例，详解了通讯、社交、照片等7类核心数据库的字段含义与工具使用。内容涵盖message_*.sqlite、sms.db、Bookmarks.db等关键数据库的解析方法，并结合24道实战题目，拆解聊天记录、虚拟货币痕迹、照片元数据等证据提取逻辑，为实际操作提供指导与参考。 综合评分： 85 文章分类： 渗透测试,应急响应,实战经验,解决方案,数据安全

20、Emma的iPhone XR中”IMG_0009.HEIC” 的图像显示拍摄参数怎样

答案：iPhone XR back camera 4.25mm f/1.8

步骤：

由审题第七项Photos.sqlite数据库ZEXTENDEDATTRIBUTES表ZLENSMODEL字段处有记载

21、Emma的iPhone XR中相片文件IMG_0009.HEIC提供了什么电子证据信息

答案：此相片由iPhone XR拍摄、此相片的拍摄时间为2024-08-05 13:38:15(UTC+8)

步骤：

由审题第七项Photos.sqlite数据库可知ZASSET表中可以查询到

Unix时间戳  = iOS时间戳 + 978307200            = 744529095.672 + 978307200            = 1722836295.672

然后用拍摄时间关联ZEXTENDEDATTRIBUTES 表

得出此相片由iPhone XR拍摄

22、Emma的iPhone XR内以下哪张照片是实况照片(Live Photos)

A. IMG_0002.HEIC

B. IMG_0005.HEIC

C. IMG_0004.HEIC

D. IMG_0006.HEIC

答案：AC

步骤：

由以上信息可知iPhone 中的实况照片扩展名为 .HEIC，直接查看Photos.sqlite数据库中ZASSET表ZFILENAME字段

23、手机里有多少张照片是用手机后置摄像镜头拍摄的

答案：8

步骤：

由20题截图可知Photos.sqlite数据库ZEXTENDEDATTRIBUTES表ZLENSMODEL字段处有记载8条

24、MesLocalID 224是什么类的文件

答案：相片

步骤：

由第15题可知

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：电子物证 《【从IOS数据库寻求案件真相：Emma 手机取证解析攻略】》