了解資料存儲在何處,最重要的是了解它們在裝置上的存儲形式,這一切将在恢複所有潛在資料時起到重要的作用。本章概述裝置上可能存儲的資料類型,以及它們的存儲位置和格式。其他的移動裝置也許包含外部資料存儲(如sd卡形式),而iphone則會把所有的資料存儲到它的内部nand閃存中。在iphone中,資料以通用的檔案類型存儲,如sqlite 資料庫和屬性清單。nand實作的“磨損均衡”功能,此算法可平衡裝置的寫入和擦除,以延長nand的使用壽命。
讓靜态的資料從裝置中恢複有很多方法,而目前還沒有辦法可從iphone易失性記憶體中恢複資料。最近開發出了一個可以從mac os工作站中恢複ram資料的方法,是以我們也可以預想,從iphone中恢複ram資料也指日可待了。
前面的小節概述了apple iso裝置使用的作業系統和檔案系統。檔案系統是hfs plus,與它的原始版本hfs相比,hfs plus做了不少改進以提高處理效率。日志是hfs plus的一個特性,用于記錄檔案系統的所有變化,讓裝置在系統故障時可以快速恢複。
本章最後讨論了iphone包含的磁盤分區。固件分區存儲了作業系統和基本應用,并且固件更新也在固件分區中執行。使用者資料分區存儲了裝置上其他的資料。它是第二個分區,或者叫slice 2,我們一般在此分區進行資料恢複。我們将在第5章和第6章描述擷取和分析使用者資料分區的相關内容。
![241 Different Ways to Add Parentheses(C代碼版)[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)