内容：iOS Forensic Toolkit 8.81最新更新利用checkm8引导程序漏洞，成功实现对运行OS 17和18系统的旧款iPad、Apple TV及初代HomePod的完整文件系统和钥匙串提取。该漏洞基于硬件级bootrom漏洞无法通过系统更新修复，使得七年前发布的设备即使升级到最新系统仍可被取证。特别值得注意的是，Apple TV和HomePod设备无需密码破解即可直接获取数据，而iPad则能通过iCloud同步获得近乎iPhone级别的完整用户信息。此次更新重构了磁盘解锁流程以适配苹果新的密钥管理机制，为执法人员提供了跨设备生态系统的重要证据链支持，凸显了老旧硬件在现代数字取证中的持续价值。

链接：

https://blog.elcomsoft.com/2025/11/exploring-ipados-tvos-and-audioos-17-and-18-devices-file-system-and-keychain-extraction/

内容：文章记录了在Windows 11环境下对Christian Peter开发的Android逻辑提取工具ALEX的初步测试。该工具支持非root设备（如Pixel 6A）和root设备（如Pixel 7），提供设备信息抓取、ADB备份、UFED风格逻辑备份、日志抓取等核心功能。安装过程简单，仅需通过pip安装依赖包并配置Android平台工具即可运行。测试表明ALEX界面简洁易用，与Android Triage工具类似，能稳定执行除聊天捕获外的所有功能模块。后续计划对比其在root与非root设备上的数据提取差异，并与ALEAPP进行结果比对。

链接：

https://ogmini.github.io/2025/11/05/Trying-out-Android-Logical-Extractor.html

内容：文章重点分析了三星Android设备中多个未被主流取证工具解析的SQLite数据库，这些数据库包含丰富的用户行为数据。关键发现包括：system目录下的pkgPredictions.db可记录应用启动习惯，WifiConfigStore.db存储网络连接历史；Device Health Manager服务中的thermal_log保留30天CPU数据，anomaly.db记录系统启动事件；此外还有记录网络状态的secure_wifi.db、追踪用户移动模式的SleepDetection.db、记录应用权限访问的permission_db以及监控通知角标的badge.db等。这些数据库对重建用户活动时间线、分析设备使用模式具有重要价值，建议取证工具开发者针对这些独特数据源开发解析模块。

链接：

https://blog.digital-forensics.it/2025/11/beyond-known-call-to-forensic-research.html