Android通讯信息提取

0x00. 获取通讯录数据

挂载系统分区并定位至/data/data/com.android.providers.contacts/databases/

使用ADB指令将database提取至本地:

adb pull /data/data/com.android.providers.contacts/databases/contacts2.db X:\

使用Sqlitebrowser打开contact2.db文件

主要通讯录文件在raw_contacts表和data表中

raw_contacts各列解释

列名 _id Account_id Display_name Last_time_contacted
解释 通过id关联其他等表中的联系人 标识该联系人所对应的通讯录登陆账户 对应联系人姓名 最后通话的时间

data各列解释

列名 _id hash_id data1~data15
解释 通过id关联其他等表中的联系人 该联系人信息的hash值 这几列为对应联系人的姓名、住址、固话等信息

0x01.获取通话记录

挂载系统分区并定位至/data/data/com.android.providers.contacts/databases/

使用ADB指令将对应的database提取至本地:

Adb pull /data/data/com.android.providers.contacts/databases/calllog.db X:\

使用Sqlitebrowser打开calllog.db文件

calllog.db各列解释

列名 number date duration geocode_location
解释 对应通讯记录的去电号码 通话记录发生的时间 通话记录持续时间 去电号码归属地理位置

0x02. 获取短信息数据

在安卓7.1中,mmssms.db文件位置再在/data/data/com.android.providers.telephony下,而是在/data/data/com.google.android.gms/database下。

挂载系统分区并定位至/data/data/com.google.android.gms/database/

使用ADB指令将对应的database提取至本地:

adb pull /data/data/data/data/com.google.android.gms/database/icing_mmssms.db X:\

使用Sqlitebrowser打开icing_mmssms.db文件,定位至表mmssms下

icing_mmssms.db各列解释

列名 Msg_type address date body
解释 消息类型,SMS为短信息,PDU为彩信 收到的消息的地址 收到消息的日期 消息内容