本文由金恒源编译，由陈裕铭、Roe校对，转载请注明。在系列文章的第一篇中，回顾了几种现代常用的固态硬盘（M.2、PCI-E、NVMe设备），并谈到了这些设备的数据获取。本文将讨论外置固态硬盘和eMMC的相关内容，并将涉及eMMC的trim机制。eMMC存储的出现eMMC是一种基于闪存的非易失性存储设备，多用于小型设备和移动设备。eMMC存储用于大多数Android智能手机、Android和Windows平板电脑，以及一些并不昂贵的Windows二合一设备（译者注：在国外，Windows二合一设备一般分为两大类：屏幕可以360°旋转的笔记本称为Convertible；屏幕与键盘可拆分的笔记本称为Detachable）、低端上网本和超薄便携本，特别是那些配备较小显示屏和英特尔凌动系列处理器的设备。在传统意义上，固态硬盘体积庞大且价格昂贵。近几代的Windows平板电脑、可折叠电脑和超轻台式机（其中大部分采用英特尔Atom芯片组）采用了一种体积更小、价格更便宜、运行速度并不快的eMMC芯片形式的存储。eMMC芯片本质上是一种SD卡，以BGA芯片的形式焊接在主板上。同SSD驱动器一样，eMMC芯片有一个内置的控制器，但eMMC控制器与SSD驱动器中使用的控制器相比要简单得多，速度也慢得多。因此，虽然eMMC可能采用与SSD驱动器相同的技术（即预留空间、重映射、TRIM和背景擦除），但可能阉割了其他的一些功能。（例如许多安全功能，如DRAT或DZAT）即使eMMC控制器实现了后台垃圾收集机制，但与SSD驱动器相比，它的工作速度也会慢得多，因为只有一个单一通道可被用于所有的读写操作。eMMC芯片并不具有SSD驱动器的大规模并行性，因此读取或写入数据的速度会慢很多。（译者注：Trim机制分为不同的类型：•

本文由金恒源编译，由陈裕铭、Roe校对，转载请注明。译者注：本文发表于2016年，距今已有7年之久，在这期间固态硬盘技术飞速发展，部分技术在当下已然称不上是“最新技术”。但知识不会过时，本文中所介绍内容仍具有借鉴意义。本文延续了2012年发表的关于SSD取证的文章的系列。两年后，我们重新研究了SSD在自毁、解密trim机制、垃圾回收机制和数据重映射等技术。彼时，制造商接二连三地发布创新产品——3D

本文由石冀编译，Roe校对，转载请注明。钥匙串是iOS和macOS的重要组成部分，它可以安全地存储最关键的数据：各种密码、加密密钥、证书、信用卡号码等等。在可能的情况下，提取和解密钥匙串是移动取证中必须的。提取钥匙串的方法可以参考《提取和解密iOS钥匙串：物理、逻辑和云端选项的探讨[1]》，不同的方法将出现不同的结果。当用逻辑获取法分析加密的备份时，你无法获取到所有的项目，如一些安全信使（如Signal和Wickr）的加密密钥，以及许多其他的零碎项目。用我们的提取代理获得的钥匙串理论上是相对完整的，并包含所有这些密钥，以及一些非常有用的数据，如本地备份密码，它可以用来解锁包含已经从设备本身删除的数据的旧备份。TL&DR•

本文由石冀编译，Roe校对，转载请注明。在本文中，我想测试一下，当某些文件从一个未知的来源通过AirDrop被发送时，它们会是什么样子。许多学校已经从AirDrop收到了炸弹威胁，我想看看是否有办法发现追查这些威胁来自哪里。在本次测试中，你会看到来自两个iOS设备的日志记录：•

本文由石冀编译，Roe校对，转载请注明。当下手机能够在设备之间轻松地进行通信和传输数据。令人遗憾的是，人们也可能接收到令人不适的、非法的或有威胁性的图像和其他文件；取证人员经常被要求识别这些文件的来源。在本文中，详细的阐述了一种深入了解用于通过苹果AirDrop发送文件的设备的方法。我们的方法是通过爆破在接收苹果设备的系统诊断日志中发现的部分SHA256哈希条目来获得发件人的电话号码，即使该电话号码不在接收文件的设备上显示。这项研究公布了一种方法，即利用所有美国区号生成手机号的部分的排列组合及其哈希值，以确定发送设备的完整电话号码。在这个研究项目中，示例照片通过AirDrop在运行iOS

本文由小茆同学、杨非凡编译，陈裕铭、Roe校对，转载请注明。当前版本的Windows有许多不同类型的账户。本地Windows账户、微软账户和域账户具有不同的保护策略，还有带PIN码的Windows

本文由小茆同学编译，陈裕铭、Roe校对，转载请注明。我们经常聊到关于提取完整文件系统的话题，却很少解释它是什么，何时可以做，以及可以使用哪些方法。今天我们一起来了解关于苹果移动设备（iPhone和iPad，以及其他一些物联网设备，如

本文由Roe原创，转载请注明。

本文由Roe原创，转载请注明。

（由于小编的手摔断了，本文发的有些滞后，举残手道个歉）大家都知道，5月25日GDPR正式生效，但你们不知道的是，也是在这一天，苹果发布了一份最新的「透明度报告」！该报告详细地记录了，在过去的2017年一整年里苹果公司收到、处理和通过的所有用户隐私数据分享的申请。一直以来，苹果在保护用户隐私这方面所做的努力，可谓是行业标杆。即便是面对政府、或国家相关机构，他们的态度也一直很强硬。我们经常会看到：苹果拒绝FBI的要求、苹果拒绝公开某用户数据等等诸如此类的新闻，苹果因此也获得了大多数用户的绝对信任。相信，在我们大多数人的印象中，苹果一直是一个以一己之力面对一切、个性独立而坚韧的存在。但，这并不意味着苹果从不配合政府工作。接下来，小编带你好好分析一下这篇苹果公司亲自出的报告，用数据看苹果公司究竟“妥协”了多少次～首先Wendy简述一下这篇报告基本原则。这份报告主要是统计苹果公司收到的数据分享申请情况，并进一步将申请情况按照两种类别进行划分：1.

其实从我们普通人的角度来看，无痕模式就是为了针对本机的浏览记录，我们在使用无痕浏览的时候，目的是不希望当别人看自己手机电脑时被发现了。就单纯为达到这个目的而言，使用无痕浏览姑且算是安全的。

此时要立刻“定”住他们，不能让他们多做一个动作，还记得电子数据的脆弱性吗？他们只要在键盘上多敲几下，或者拔掉电源，证据可能就消失了！（真实的案例，曾有嫌疑人在警察进来前将笔记本拿到天然气炉上烧毁）

总之，如今的生活，电子数据几乎参与到了方方面面直至每个细节，你想得到或想不到的地方都存在关于你的电子数据，这些电子数据能客观记录许多你不曾留意的信息，所以才能够给嫌疑人一锤定音，成为定罪的关键依据。