目前针对手机微信数据恢复，已经有较为成熟的方法，商业的手机取证工具一般都能不同程度地支持。本文将以Android微信为例探讨判断微信聊天记录是否被删除过的方法，这一方法也可以用于检验取证工具恢复的聊天记录是否完整。Android微信默认路径为data分区下的“datacom.tencent.mmMicroMsg”目录，用户及应用产生的大部分数据都在此目录下，但用户产生的多媒体数据则保存在SD...

微信在即时通讯工具中所占的份额越来越大，取证实践中已经逐渐取代QQ成为最重要的取证项。对于手机端，目前国内外手机取证工具都能很好地解析，但对于PC端的微信，则只有取证大师等少量的产品支持。Windows PC安装后，默认会在“我的文档”目录下创建“WeChat Files”文件夹，后续每登陆一个微信账号，便在该文件夹下创建一个以微信号命名的子文件夹，放置配置信息、聊天记录及附件数据。取证大师...

手机取证中，手机号是确定手机机主的重要途径，同时也可以在众多检材或线索中起串联作用，其重要性不言而喻。确定手机号的一个重要途径是通过SIM卡，SIM卡中可能记录有手机号，通过SIM卡的ICCID也可以从运营商查询得到对应的手机号。实践中机主可能更换过手机号，所以仅对手机附带的SIM卡进行取证可能还不够。本文将介绍Android及iOS设备中检验历史SIM卡信息的方法。iOS设备使用iTune...

对于Windows系统，我们可以从注册表等多个位置检验出应用程序的安装、运行，甚至卸载记录。那么对于macOS呢？其实也是有记录的。本期就介绍一下开机状况下如何检验应用程序安装记录。点击桌面左上角的苹果图标，选择『关于本机』，可以看到系统版本、硬件配置等信息。如下图所示。点击『系统报告...』,在新的窗口中可以看到系统的各种信息。在左边的导航窗口中定位到『软件』→『安装』，即可看到所有安装过...