了解数据存储在何处,最重要的是了解它们在设备上的存储形式,这一切将在恢复所有潜在数据时起到重要的作用。本章概述设备上可能存储的数据类型,以及它们的存储位置和格式。其他的移动设备也许包含外部数据存储(如SD卡形式),而iPhone则会把所有的数据存储到它的内部NAND闪存中。在iPhone中,数据以通用的文件类型存储,如SQLite 数据库和属性列表。NAND实现的“磨损均衡”功能,此算法可平衡设备的写入和擦除,以延长NAND的使用寿命。让静态的数据从设备中恢复有很多方法,而目前还没有办法可从iPhone易失性内存中恢复数据。最近开发出了一个可以从Mac OS工作站中恢复RAM数据的方法,因此我们也可以预想,从iPhone中恢复RAM数据也指日可待了。前面的小节概述了Apple iSO设备使用的操作系统和文件系统。文件系统是HFS Plus,与它的原始版本HFS相比,HFS Plus做了不少改进以提高处理效率。日志是HFS Plus的一个特性,用于记录文件系统的所有变化,让设备在系统故障时可以快速恢复。本章最后讨论了iPhone包含的磁盘分区。固件分区存储了操作系统和基本应用,并且固件升级也在固件分区中执行。用户数据分区存储了设备上其他的数据。它是第二个分区,或者叫Slice 2,我们一般在此分区进行数据恢复。我们将在第5章和第6章描述获取和分析用户数据分区的相关内容。
