通過python獲取蘋果手機(jī)備份文件中的照片，視頻等信息采集

前言：
蘋果手機(jī)用戶通常會將手機(jī)備份到電腦上，而備份文件通常不會自動刪除。在我們電腦取證，或者***到一臺電腦后可以通過python腳本獲取到備份文件中的一些隱私信息，比如照片、視頻、相關(guān)軟件中的一些賬號，聯(lián)系信息等等。但是我們進(jìn)入到備份文件目錄，會發(fā)現(xiàn)文件都沒有后綴名，而且很亂。似乎沒有什么用。我們看到的如下：
備份目錄（win7）：C:\Users\你的用戶名\AppData\Roaming\Apple Computer\MobileSync\Backup\

            在備份文件的根目錄下有個Manifest.db文件，用數(shù)據(jù)庫管理工具打開后如下：

  經(jīng)過觀察可以猜測fileID就是文件名，文件名的前面兩個字符是所在文件夾的名稱，如文件夾“12”，domain字段應(yīng)該保存的是文件相關(guān)的軟件信息，可以大致看出是哪個軟件的文件。relativePath保存的是文件的原始路徑信息和文件相關(guān)的內(nèi)容。
        文件里還有很多sqlite的數(shù)據(jù)庫文件，我們都可以通過這個庫查出相關(guān)的文件，然后用fileID這個字段的值去備份文件夾中搜索出來，然后用數(shù)據(jù)庫工具打開查看，也可以直接通過python腳本連接。

下圖打開好像是大眾點評的一個文件，里面有坐標(biāo)信息，可以繪制用戶的位置活動情況，其他信息類似獲取

    通過調(diào)用百度地圖等api可以獲取到其坐標(biāo)信息，好接下來看看怎么把照片、視頻等從這些文件中分類出來吧。用到的庫有filetype、getpass、os等。filetype是python判斷文件名類型的庫，getpass用來獲取當(dāng)前系統(tǒng)名、os python操作系統(tǒng)相關(guān)的庫。通過遍歷文件類型，將圖片和視頻復(fù)制到其他地方保存。

系統(tǒng)：win7 64位
python：3.6版本

import filetype
import os
import shutil
import getpass

def main():
#獲取系統(tǒng)當(dāng)前登陸用戶名
username=getpass.getuser()
#蘋果手機(jī)默認(rèn)備份文件路徑（win7系統(tǒng)下）
apple_bak_path=r"C:\Users{}\AppData\Roaming\Apple Computer\MobileSync\Backup".format(username)
#如果備份路徑存在，則遍歷文件夾下的所有文件
if os.path.exists(apple_bak_path):
g=os.walk(apple_bak_path)
for path,d,filelist in g:
for filename in filelist:
file=os.path.join(path,filename)
print(file)
#獲取文件類型信息
kind = filetype.guess(file)
if kind is None:
print('Connot guess file type!')
#如果文件類型是jpg，則復(fù)制文件到其他地方
elif kind.extension=='jpg':
print(filename)
shutil.copyfile(file,'d:\new\jpg\{}.jpg'.format(filename))
#如果文件類型是MP4，則復(fù)制文件到其他地方
elif kind.extension=='mp4':
shutil.copyfile(file,'d:\new\mp4\{}.mp4'.format(filename))
else:
print("沒有發(fā)現(xiàn)蘋果手機(jī)備份文件！")

if name == 'main':
main()

其他文件類型類似操作，手機(jī)中的其他信息感興趣的朋友可以繼續(xù)挖掘。