我知道距离我上次发帖已经很久了！我已经在Magnet Forensics安顿下来，不得不说——到目前为止这是一次不可思议的经历。我继续被那些不知疲倦地工作、使Magnet AXIOM和无数其他产品尽可能做到最好的人们的奉献精神和技能所惊叹和启发。

我最近帮助一位客户解决了一个关于他正在检查的iPhone的问题。他想证实设备主人的说法——据称他在某个日期和时间在设备上观看了一些视频。

我建议将KnowledgeC的"Now Playing"作为一个参考点，这引发了一系列深入探究，即：

• 清除Safari历史记录是否会影响KnowledgeC.db？
• 隐私浏览是否会影响KnowledgeC.db的输入？

借助越狱设备（这些天我总是随身携带）的帮助，回答这些问题应该足够容易。我想与#DFIR社区分享我的发现，因为在此过程中我观察到了一些有趣的事情。Sarah Edwards本人在关于KnowledgeC的博客系列中指出，在验证数据是否如其所见方面还有更多工作要做。我想说今天的工作正是沿着这条路径进行的。

还有一点需要注意。我的越狱设备运行的是iOS 11.4.1，而在撰写本文时我们已经到了iOS 13.1.2，因此这与最新/最伟大的iOS版本之间可能存在差异。首先，我进入Safari并访问了YouTube上弹出的第一个视频（没有安装YouTube应用程序，所以它在浏览器中播放）。

在点击YouTube.com上作为趋势出现的第一个随机视频之前，我根本不知道"Blippi"是什么。教训 learned。

接下来，使用SFTP我从/private/var/mobile/Library/CoreDuet/Knowledge收集了KnowledgeC.db，包括shm和wal，并打开了DB Browser for SQLite。然后我运行了Sarah Edwards的Now Playing脚本（APOLLO），以下是我观察到的内容：

到目前为止一切顺利。我同意这里的数据，我度过了一个广告和大约3秒的Blippi视频，然后感到极大的遗憾并按下主页按钮停止了那种疯狂。顺便说一下，Oct Edge Pre Roll是一个广告，在某个时候我跳过了它……但我会说15秒是整个过程所花费的可信时间。

接下来，我回到我的越狱设备，通过设置 > Safari清除了所有历史记录。然后我再次提取KnowledgeC并再次运行查询。什么都没有改变——和以前完全一样。

现在事情开始变得奇怪了——我在Safari中访问了YouTube上的另一个视频，并再次提取了我的KnowledgeC数据库：

那么……新视频完全缺失了，但更奇怪的是，有一个额外的Blippi条目（注意条目创建时间大约在5分钟之后），显示"使用秒数"为319。（请注意，“使用秒数"列实际上是Sarah为我们提供的ZENDDATE – ZSTARTDATE的计算结果。）

我们可以从中推测出几点：

• 即使Safari被暂停且历史记录被清除，如果我锁定屏幕，我怀疑它会显示我的"Now Playing"为Blippi视频。直到我去了一个不同的视频，它才被改变。
• KnowledgeC的写入不能保证是立即的，并且肯定不能单独反映活跃的观看时间。

然后我再次观看了同一个视频，并再次提取了我的KnowledgeC。这一次，我如预期得到了新条目：

为了回答另一个问题，即隐私浏览是否对KnowledgeC Now Playing记录有影响。然后我在Safari的"隐私模式"下访问了更多YouTube视频：

它们同样显示出来了。

最后一点。在所有这些之后，我进行了一个KnowledgeC范围的查询，以查看除了Now Playing结果之外我留下了什么样的印记：

就是这样。我认为通过/app/inFocus行，可以更清楚地表明我实际上并没有花很多时间观看任何一个视频。这里的寓意是，KnowledgeC数据确实令人惊叹，但并非没有其细微差别。你必须基于所有相关KnowledgeC记录的整体来构建你的故事，避免仅仅依赖于从单一日志类型或行中得出的信息。