内容：一家投资公司遭勒索软件攻击后，内部团队对隔离的Linux服务器进行了内存取证。调查员使用Volatility 3的psscan插件分析内存镜像时失败，虽已下载Linux符号文件但仍报错。根本问题在于未正确配置符号文件路径：Volatility 3要求通过--symbols参数明确指定符号文件，或将其放置在默认目录（如volatility3/symbols）并确保文件名与内核版本完全匹配（如vmlinux-5.4.0-80-generic.json.xz）。解决方案是检查内核版本（通过uname -r或镜像头信息），下载对应符号文件后使用vol -f image.raw --symbols /path/to/symbols.json linux.psscan命令。此案例凸显了Linux内存取证中符号文件精准匹配的重要性，盲目放置文件而无视版本一致性会导致解析失败。

链接：

https://cyberdose.beehiiv.com/p/be-a-better-detective-6

内容：本文介绍了使用iOS Forensic Toolkit（EIFT）对兼容32位苹果设备（如iPhone 3GS至5c、iPad 1-4等）进行完美取证采集的完整流程。该方法通过DFU模式启动设备，利用./EIFT_cmd命令链依次完成内存转储（data.dmg）、BFU密钥提取（keys_bfu.plist）、系统密钥袋解密、密码破解（支持4/6位数字）及完整密钥生成（keys.plist），最终通过FSTool工具解密密钥链（keychain.xml）并挂载磁盘镜像进行取证分析。整个过程无需修改文件系统，确保数据完整性，适用于macOS/Linux平台，且挂载后的镜像可由Cellebrite Physical Analyzer等工具解析。操作结束后需恢复设备自动启动设置（autobootTrue），未来计划将类似方法扩展至64位checkm8漏洞兼容设备。

链接：

https://blog.elcomsoft.com/2025/10/cheat-sheet-perfect-acquisition-32-bit/

内容：在测试Gmail应用删除邮件行为时，发现SQLite数据库中的日志记录仅在特定操作序列下短暂存在：若删除邮件后直接提取数据库（不返回手机主界面），可捕获相关日志；但一旦返回主界面，记录立即消失。这表明日志可能仅为支持"撤销"操作而临时保留，其清理机制与应用生命周期（如退出或后台进程触发）相关。该发现揭示了此类日志的强瞬时性，实际取证中几乎无法利用，除非在操作完成瞬间从活跃设备直接提取数据。

链接：

https://ogmini.github.io/2025/10/12/Gmail-App-IMAP-Account-Message-Log-Part-2.html