内容：在Magnet Forensics最新讲座中，Matt总结了iOS 26引入的取证新线索：iMessage投票功能通过复杂数据结构记录活动，投票数据以Base64编码存储于payload_data字段，需解析JSON获取选项与参与者信息；聊天背景设置保存在sms.db的chat_properties列PLIST中，而Apple Intelligence的自动翻译功能则在translationd.plist记录语言包配置，翻译内容嵌套存储于消息表的message_summary_info列多层PLIST内。这些新增 artifacts虽解码复杂，但为追踪用户行为提供了更精细的数据支持，体现了iOS为处理复杂场景而强化的结构化数据存储能力。

链接：

https://matthewplascencia.substack.com/p/am-i-that-old-already-new-forensic

内容：针对Citrix等VDI环境中用户数据存储在VHDX虚拟磁盘文件（内含NTUSER.DAT等关键证据）的取证挑战，本文提出基于Velociraptor的自动化解决方案。通过创建虚拟客户端并重映射文件系统与注册表路径（如将C:\Users\Brontomerus映射至VHDX文件），使标准取证模块（如UserAssist、NTUser）可直接操作虚拟化数据；同时通过覆盖Windows.Sys.Users构件实现VHDX内用户自动枚举（基于标签remapped_profile触发），并采用分批次处理策略（每客户端处理40个配置文件）实现千级VHDX文件在30秒内完成分析。

链接：

https://labs.infoguard.ch/posts/automation_of_vhdx_investigations/

内容：Android版Google Chat作为谷歌生态的即时通讯应用，其数据存储于/data/data/com.google.android.apps.dynamite/路径的数据库（如dynamite.db）和缓存目录中，可通过ArtiFast等工具解析消息内容（发送/编辑/删除时间戳、发送者ID、附件信息）、会话元数据（创建时间、成员列表、群组类型）及用户信息（姓名、邮箱、头像URL）。这些证据能重构用户活动时间线、验证身份关联性，并追踪通过Google Drive共享的文件或Calendar联动的日程协作，为调查通信行为、数据泄露或内部协作纠纷提供关键电子证据支持。

链接：

https://forensafe.com/blogs/android-google-chat.html