iOS设备取证在司法鉴定领域应用广泛且需求紧迫，智能手机上的证据常常直接左右着案件的判决结果。本文围绕iOS终端取证这一需求，研究实现了iOS设备NAND闪存芯片上的原始数据镜像提取；实现了基于NAND原始数据镜像的数据恢复，关键文件的提取解析和真实性鉴定；并通过实验对iOS设备数据恢复率的影响因素做了研究和分析。本文研究的内容主要包括如下:首先，分析比较数据保全的软硬件方法，并且选取最优的软件提取底层NAND原始数据的方式来实现iOS上的数据保全。iOS终端数据镜像提取模块的实现的几个难点在于，通过patch内核，使得其能够同时兼容iOS3.x，4.x以及5.x系统；通过使用ramdisk引导设备来绕过权限控制，使得取证系统能够同时兼容已越狱/非越狱设备的底层数据镜像提取。然后，使用提取的底层NAND原始数据实现iOS终端数据恢复模块。实现中主要考虑NAND/NOR闪存盘必须通过FTL读写的特性。通过挖掘在操作系统层已经完全删除，然而在物理层却仍然存在的过期物理页信息，为数据恢复提供可靠的数据来源；通过借鉴SSD上的数据恢复一些特性，在iOS设备上实现了底层数据提取和反删除。而且，数据恢复的效果要明显好于传统上基于文件系统层镜像做的数据恢复。最后，通过对iOS设备数据恢复率的研究分析得出了一些结论。中低负载和高负载下的多次反复数据恢复实验证实：iOS设备的FTL采用了比一般SSD更为懒惰的垃圾回收策略。目前所掌握的实验结果首次清楚的表明，iOS设备没有启用类似SSD上TRIM和ITGC的主动垃圾回收。高负载实验实际测得：iOS设备使用的垃圾回收策略是在空白页数目不足总容量的6%（在iPhone416GB上即为1GB）的时候，才会调用垃圾回收机制去擦除无效页。这个结论对于司法取证工作有着重大的参考意义。