内容：APFS文件系统中每个文件/目录包含四个时间戳：创建时间（create_time）、修改时间（mod_time）、最后访问时间（access_time）和属性变更时间（change_time），均以1970年1月1日以来的纳秒数存储。实际应用中，创建时间用于判断文件最早存在时间，修改时间反映内容变更，而访问时间的行为受卷级设置APFS_FEATURE_STRICTATIME控制：若启用则每次读取更新，否则仅当访问时间早于修改时间时才更新。实验证明，macOS默认启用严格模式，但需注意文件在未重新打开时修改不会更新访问时间（如文本编辑后直接保存），且QuickLook预览等系统级访问不会留下痕迹。因此，依赖访问时间判断文件是否被查看可能存在误导，取证时需结合多时间戳交叉验证并理解其更新机制。

链接：

https://eclecticlight.co/2025/10/24/be-careful-when-interpreting-apfs-timestamps/

内容：图像元数据隐写：通过ExifTool分析map.jpg的Notes字段直接获取首个flag（flag{m47ry05hk4}），随后使用CyberChef的Extract Files配方从同一图像中提取隐藏的嵌套文件，发现第二个flag（flag{k3n081}）。Windows Notepad痕迹恢复：题目提供LocalState.zip包含Notepad的TabState与WindowState文件夹，利用专用解析脚本（WindowsNotepadParser）还原未保存的编辑内容。通过生成的GIF动态重现编辑过程，发现被删除的flag（flag{r5-d4_k-2so_bd-1}），展示Notepad状态文件在取证中记录光标位置、字符增删的能力。该挑战凸显了元数据隐写、文件嵌套及常见应用（如Notepad）的临时数据在取证中的价值，强调自动化工具与手工分析结合的重要性。

链接：

https://www.stark4n6.com/2025/10/bsides-nyc-2025-ctf-forensics.html

内容：iOS数字取证专注于从iPhone、iPad等设备中提取、保存和分析电子证据，涵盖逻辑提取（快速获取用户数据）、物理提取（完整存储镜像恢复删除文件）及芯片级高级技术（绕过安全限制）。关键工具需具备多版本iOS兼容性、解密能力及证据链保全功能，以应对苹果日益增强的加密与隐私保护机制。法律层面要求严格遵循证据可采性标准，包括完整的监管链记录、方法论文档及防篡改措施。当前挑战包括快速迭代的加密技术、云同步数据复杂性及硬件级安全升级，需通过持续技术更新与跨领域协作解决。专业服务机构（如Computer Forensics Lab）提供从取证到法庭证词的全流程支持，确保证据符合司法要求。

链接：

https://computerforensicslab.co.uk/ios-digital-forensics-methods-tools/