内容：iPhone在多次取证中出现数据差异的主要原因是设备解锁后系统后台进程会清理过期数据。受影响的易失性或半易失性数据包括“最近删除”相册内容（通常保留30天）、已删除iMessage信息（约30天）、Safari浏览记录（30天）、系统诊断日志、KnowledgeC/Biome记录（约28-30天）及位置缓存（约7天）等。这些数据的清理由iOS维护任务在解锁后触发，其保留时间受系统负载和iOS版本影响。为最大限度保存证据，应在查获设备后立即采取隔离网络、禁用系统自动启动、创建诊断快照等措施，并优先使用引导程序级提取工具避免系统正常启动。同时，结合iCloud备份取证（如使用Elcomsoft工具）可获取设备上已丢失的静态数据，且执法部门可通过法律程序要求苹果冻结iCloud账户数据以延长证据保留期。

链接：

https://blog.elcomsoft.com/2025/10/evidence-preservation-why-iphone-data-can-expire/

内容：Pulseway作为基于SaaS的远程监控与管理（RMM）工具，其代理程序支持静默安装（需管理员权限），可通过服务（PC Monitor）和计划任务实现持久化。关键取证证据包括：安装目录（%Program Files%\Pulseway）下的可执行文件（如PCMonitorSrv.exe）、注册表配置项（HKLM\SOFTWARE\MMSOFT Design\PC Monitor）及事件日志（应用日志与专用Pulseway-CommandAudit.evtx）。远程操作（如PowerShell命令、文件传输）虽以SYSTEM权限执行且逃避常规日志，但会在CommandAudit日志中记录详细参数；网络活动涉及特定域名（如rd-us-east-1.pulseway.com）。调查需确认组织是否授权使用、端点预期性，并通过日志分析命令执行记录、关联时间线及前后可疑活动（如文件下载、安全软件终止）。

链接：

https://www.cybertriage.com/blog/dfir-next-steps-suspicious-pulseway-use/

内容：OneDrive的Quick Access功能通过本地数据库Microsoft.FileUsageSync.db（路径：%LOCALAPPDATA%\Microsoft\OneDrive\ListSync\Business<1-9>\settings）记录用户频繁访问的云端存储位置（如SharePoint库、Teams频道）。关键表包括：quick_access：存储基础元数据（最后访问时间、固定顺序）；quick_access_formatted：核心数据表，其FormattedValue字段含JSON结构，记录访问URL、站点标题、颜色标识、图标、团队关联状态及时间戳；quick_access_metadata：跟踪同步状态。通过解析JSON字段（如title、siteAcronym、accessUrl、lastAccessDateTime）可重构用户界面元素与行为，结合SQL关联查询能还原固定项与最近访问项的时间线及导航逻辑，为电子取证提供云端活动证据。

链接：

https://malwaremaloney.blogspot.com/2025/10/onedrive-quick-access.html