IOS取证 on 办公AI智能小助手

深入解析iOS照片数据库：揭示照片与创建应用的技术关联

Thu, 01 Jan 2026 01:46:16 +0800

使用Photos.sqlite展示照片与其创建应用程序之间的关系？

作者：斯科特·科尼格 | 更智能的取证

首先，我要感谢希瑟·马哈利克在此过程中的帮助，并允许我在她的博客上发布内容。这是我的荣幸！此外，还要感谢贾里德·巴恩哈特在研究与测试方面给予的协助。

iOS14取证解析：数据库变化、地图新格式与BLOB数据挖掘

Wed, 31 Dec 2025 19:15:48 +0800

iOS14取证解析：数据库变化、地图新格式与BLOB数据挖掘

作者：Heather Mahalik

本文是对本周正式发布的iOS14的初步检视。延续我之前的风格，我将重点关注影响几乎所有调查的基础数据，然后深入剖析。将此博文视为一次“浅尝辄止”的探索。本次测试使用了我个人可用的工具。如果您觉得遗漏了什么，请分享。如果您是供应商并认为有遗漏，请与我分享，我将亲自尝试。目前，加密的iTunes备份似乎是最稳定的选项。我知道供应商很快就会发布支持iOS14的更新，请耐心等待。如果您不加密备份，您将无法提取通话记录、Apple Maps（部分数据库被提取但为空）、Safari浏览记录、健康数据，可能还有更多内容！

iOS设备Apple统一日志的提取、处理与查询技术详解

Wed, 10 Dec 2025 09:55:14 +0800

提取、处理与查询iOS设备上的Apple统一日志

Apple统一日志是什么？它们为何在我的数字取证检查中如此重要？

引言

统一日志以高度细粒度的方式记录Apple设备上的“生命模式”信息。根据Apple的文档说明：

iOS 13滑动输入技术背后的数字取证宝藏

Wed, 10 Dec 2025 00:12:54 +0800

iOS 13 – 滑动输入

iOS 13带来了许多有趣的新功能，其中我已开始使用的一个就是滑动输入。它的准确性给我留下了深刻印象。

这个功能在第三方应用中早已存在，并且在安卓系统中作为原生功能也有一段时间了（我认为）。

iOS版Evernote取证分析：日志、数据库与地理位置信息的挖掘

Tue, 09 Dec 2025 23:46:25 +0800

概述

在移动设备的取证检查中，新的iOS应用程序不断出现。我发现我们通常用于获取和分析移动设备数据的商业工具，无法解析大多数第三方应用的数据。这是应用程序更新周期带来的固有问题。我们实在不能责怪那些商业产品或开发者，他们确实是在打一场徒劳的仗。

iOS取证分析：解密AirTag与追踪器的位置数据

Tue, 25 Nov 2025 12:51:53 +0800

野生标签与其他AirTag故事

作为数字取证从业者，我通常在本博客中讨论Android相关内容，但偶尔也会涉足iOS/iPadOS领域。最近我在准备关于不需要的Google Find My Device（FMD）追踪器的演示时，在iOS统一日志中发现了一些有趣的内容：关于不需要的追踪器的信息被写入磁盘。

iOS搜索派对深度解析：FindMy网络取证与加密数据库分析

Thu, 20 Nov 2025 01:17:34 +0800

iOS正在观察。也在判断。

注意：本文假设您已阅读之前关于AirTags的文章，因为它引用了与iOS searchpartyd相关的项目，但几乎没有任何解释。强烈建议您在继续阅读之前先阅读之前的文章。

iOS 13取证技术深度解析：关键数据位置与工具支持

Wed, 05 Nov 2025 07:29:33 +0800

数据备份与取证方法

在测试iOS 13过程中，作者反复进行了数据备份、检查和修改的过程。苹果在此次更新中对数据存储位置做了一些调整，其中加密变得至关重要。

目前，Physical Analyzer的Method 1和Method 2尚未支持iOS 13，因此作者使用iTunes进行备份获取。建议进行加密的iTunes备份，因为这样可以获取健康数据、钥匙串、Safari、通话记录、地图和钱包等数据。

iOS设备苹果统一日志的提取、处理与查询技术指南

Wed, 05 Nov 2025 04:07:33 +0800

初始化向量：从iOS设备提取、处理和查询苹果统一日志

什么是苹果统一日志及其重要性

统一日志在所有苹果设备中保存着高度细粒度的生活模式信息。根据苹果官方文档：

统一日志系统提供了一个全面且高性能的API，用于捕获系统各个级别的遥测数据。该系统将日志数据集中存储在内存和磁盘中，而不是将数据写入基于文本的日志文件。您可以使用Console应用、日志命令行工具或Xcode调试控制台查看日志消息。

iOS取证分析：KnowledgeC数据库中的"Now Playing"记录解析

Tue, 04 Nov 2025 01:24:27 +0800

我知道距离我上次发帖已经很久了！我已经在Magnet Forensics安顿下来，不得不说——到目前为止这是一次不可思议的经历。我继续被那些不知疲倦地工作、使Magnet AXIOM和无数其他产品尽可能做到最好的人们的奉献精神和技能所惊叹和启发。

Snapchat取证技术解析：从账户数据获取关键证据

Mon, 03 Nov 2025 22:14:57 +0800

（不完全）Snapchat取证

概述

对于那些无法使用GrayKey盒子或Cellebrite服务获取设备物理镜像的取证人员来说，由于法律限制等因素，我们通常只能依赖iOS设备的逻辑提取。在最近一次关于Snapchat数据及其设备存储情况的调查后，我发现Snapchat提供了类似Google Takeout的数据下载服务。

iOS照片应用面部识别技术深度解析

Mon, 03 Nov 2025 02:11:36 +0800

DFIR峰会演讲后续：Lucky (iOS) 13 - 下注时刻（通过 @bizzybarney）

照片中的人脸识别

我想扩展我在DFIR峰会演讲中的一个方面，即深入研究照片应用程序，以及该研究的一些衍生内容。在关注人脸识别主题时，似乎有必要简要介绍从拍摄照片到在照片应用程序中将人名放在人脸旁边的整个过程。

iOS搜索派对深度解析：FindMy网络数据取证与加密技术揭秘

Sun, 02 Nov 2025 02:35:08 +0800

iOS正在观察。也在判断。

在过去的几个月里，我一直在探索iOS的搜索派对。正是这个东西让苹果的FindMy网络运转起来，而理解其底层机制以及哪些数据可用于取证分析花费了一些时间。主要的障碍是加密，对此我的感受很矛盾。作为用户，我欣赏数据保护。作为从业者，我则不喜欢数据保护。去年在为SANS演讲做准备时，我与之斗争了一段时间，最终才弄清楚如何获取关于不受欢迎的AirTags的信息（您可以在此处阅读相关努力）。

iOS 13取证技术要点解析

Sat, 01 Nov 2025 13:13:50 +0800

iOS 13取证要点总结

对于没有时间阅读完整技术文档的读者，这里提供一份简要总结：

备份加密要求

首先，如果备份未加密，您将无法获取以下数据：

地图
通话记录
Safari浏览器数据
健康数据
钥匙串
钱包数据

苹果似乎加强了数据保护机制，因此必须加密备份才能提取数据。在完整博客中我使用了iTunes进行测试，同时测试了PA 7.24的方法1（启用加密），方法2仍在进行中。加密备份效果很好，得到了预期的数据。简单来说：要么加密锁定，要么获取有限数据。

通过Photos.sqlite分析照片与创建应用的关系

Mon, 27 Oct 2025 20:04:09 +0800

使用Photos.sqlite展示照片与创建应用之间的关系

首先，我要感谢Heather Mahalik在此过程中的帮助，并允许我在她的博客上发布内容。这是我的荣幸！此外，还要感谢Jared Barnhart在研究与测试方面的协助。

iOS电源日志中的单调时钟解析与时间戳转换技术

Mon, 27 Oct 2025 19:00:58 +0800

DoubleBlak [CurrentPowerLog & the Monotonic Clock]

CurrentPowerLog与单调时钟

Apple电源日志时间戳一直是个容易混淆的点，这很容易理解。我承认几年前在尝试验证电源日志记录时也陷入了同样的困惑。当时，从CurrentPowerLog.PLSQL数据库中提取的一个设备事件对我的案件很重要，我试图验证所显示的时间。我像往常一样去查看源数据库，但我感兴趣的时间戳却无处可寻。

iOS 13滑动输入技术的取证分析

Sat, 25 Oct 2025 23:11:33 +0800

iOS 13 - 滑动输入

iOS 13带来了许多有趣的新功能，其中一个我已开始使用的就是滑动输入。其准确性令我印象深刻。

这项功能在第三方应用中早已存在，并且在Android中（我认为）作为原生功能已有一段时间。

iOS取证分析：AirTag与 unwanted tracker 检测技术解析

Sat, 25 Oct 2025 02:05:05 +0800

iOS取证分析：AirTag与 unwanted tracker 检测技术解析

引言

虽然我通常在此博客中讨论Android相关内容，但偶尔也会涉足iOS/iPadOS领域。最近我在准备一个关于 unwanted Google Find My Device (FMD) 追踪器的演示时，在iOS统一日志中发现了一些有趣的内容：关于 unwanted tracker 的信息被写入磁盘。

使用Python将iOS快照从KTX格式转换为PNG

Fri, 24 Oct 2025 22:52:21 +0800

KTX到PNG的Python转换：处理iOS快照

iOS上的应用快照以KTX文件格式存储，这得益于Geraldine Blay（@i_am_the_gia）和Alex Brignoni（@AlexisBrignoni）的研究已经广为人知。他们甚至提出了一种收集并将其转换为PNG格式的方法。然而，该解决方案仅适用于macOS，因此有了这项研究。

使用iLEAPP解析iOS版Uber应用地理位置数据的新工具

Fri, 24 Oct 2025 16:50:32 +0800

使用iLEAPP解析iOS版Uber应用地理位置数据的新工具

数字取证与事件响应 - 信息安全全方位

2024年4月9日，星期二

新解析器功能特性

基于iLEAPP的iOS版Uber应用新解析器具备以下功能：

🗜 LevelDB数据结构 - 解析存储在LevelDB中的数据

苹果地图位置记录分析：深入解析MapsSync数据库技术

Thu, 23 Oct 2025 20:18:21 +0800

DoubleBlak [苹果地图 - 访问过的位置？]

苹果地图 - 访问过的位置？

Ian Whiffin
发布于：2024年2月27日

这篇文章将涵盖MapsSync数据库的多个技术方面，包括位置数据和数据库结构。希望我的分析能够准确且有用。让我们开始吧。

iOS知识库同步数据取证：跨设备消息意图解析

Thu, 23 Oct 2025 16:33:44 +0800

DoubleBlak [Sync Peers]

Ian Whiffin
发布于：2024年9月22日

最近发生了一件有点有趣的事情。和许多检测人员一样，特别是那些喜欢做研究的人，我拥有大量测试设备，其中绝大多数是iOS设备。

iOS应用组与共享数据取证技术解析

Thu, 23 Oct 2025 13:37:21 +0800

iOS应用组与共享数据

背景

追踪iOS应用的数据文件夹（即沙盒路径）相对简单，只需查看位于/private/var/mobile/Library/FrontBoard/的applicationState.db SQLite数据库。然而，定位其应用组（AppGroups）和扩展（Extensions）的沙盒文件夹则不那么直接。

Safari浏览器取证分析：时间戳不可靠性验证指南

Thu, 23 Oct 2025 13:20:03 +0800

DoubleBlak [Safari取证分析指南]

这是关于此取证发现的最后一篇文章。尽管之前已发布两篇文章并在庭审中进行了两次现场演示，但似乎人们仍未理解或相信这一发现。

iOS14数字取证技术深度解析：数据提取与取证分析

Thu, 23 Oct 2025 13:04:14 +0800

iOS14数字取证技术深度解析

本文是对本周正式发布的iOS14系统的初步技术分析。按照以往惯例，我重点关注影响大多数调查的基础数据痕迹，并深入分析苹果系统的技术细节。本文将这部分视为初步探索。

Apple健康数据准确性深度分析：数据库结构与测试验证

Thu, 23 Oct 2025 12:38:49 +0800

Apple健康数据准确性与可靠性

概述

尽管多年来一直从事Apple Health相关工作并撰写过相关博客，但我从未真正写过关于其准确性的内容。虽然已有他人发表过相关文章，且我的观点与已发布细节差异不大，但我认为这里有一些有价值的信息值得了解。

iOS 17消息保留设置的技术解析与取证方法

Thu, 23 Oct 2025 12:30:33 +0800

iOS 17：那个"永久"设置真的永久吗？还是另有隐情？

在教授SANS FOR585智能手机取证深度分析课程时，我们会深入分析iOS工件，以验证事件真相、工具报告内容以及它们遗漏的信息。消息保留设置通常能帮助检查人员理解，如果用户没有删除数据，为什么某些数据不再存在于iOS设备上。在搜索已删除消息时，我建议学生先验证com.apple.MobileSMS.plist中的当前消息保留设置，然后检查工具解析的消息，并与sms.db的消息表进行比较。