MAC取证
以下内容对MAC电脑取证一些基础原理进行总结,了解Mac主要原理非常重要。
苹果文件系统-APFS
苹果文件系统(APFS)是苹果独家研发的文件系统,用于MacOS、iOS、watchOS以及tvOS。APFS是macOS High Sierra (10.13)及以上版本的默认文件系统,支持少部分 macOS Sierra (10.12)。
苹果扩展属性
苹果扩展属性(Apple Extended Attributes)是在MacOS内生成的特殊元数据,索引后可通过MacOS的搜索工具 – “聚焦”(Spotlight)进行搜索。苹果扩展属性含有对取证非常重要的信息,但这些特殊的元数据在Windows操作系统及Windows取证软件中是无法被解析或仅可部分解析的。
FUSION DRIVES
使用 Fusion Drive的苹果电脑是两块或者多块物理磁盘的“联姻”——即被视为一块磁盘。最早期,Fusion Drive是由一块小容量的SSD(速度快)加一块大容量传统机械硬盘(低成本、长期保存数据)组成。但也可以是其他组合,比如两块磁盘都是SSD。
过去,面对Fusion Drive,调查人员要分别镜像两块物理磁盘。在使用其它镜像工具(例如PALADIN)时这种做法很普遍。但是在使用传统取证分析工具做分析时,为了正确显示Fusion Drive的目录结构,用户需要手动挂载两块硬盘的镜像后再重新镜像。
CORE STORAGE
Core Storage是MacOS 版的逻辑卷管理(LVM)。通过Core Storage (或LVM),Mac允许一个或多个物理磁盘被视为一个新的磁盘。此技术首次使用是用于苹果的Fusion Drive。不同的是,即使系统中只有一个物理磁盘,MacOS 仍可使用Core Storage。
文件保险箱-FILEVAULT
FileVault(FileVault2)即为MacOS 全卷加密,没有后门。FileVault需使用用户密码或恢复密钥(在启用FileVault时生成)来挂载及解密。在提供了用户密码或恢复密钥后,可通过取证工具进行解密。
T2 安全芯片
在很多新款Mac中,苹果使用了T2 安全芯片。T2 安全芯片支持多种安全性功能,但也令数据提取及镜像的步骤变得复杂。T2 安全芯片默认开启安全启动选项,并限制从外部介质启动。而关闭这些设置必须输入管理员密码。如果不知道管理员密码,可以把使用T2 安全芯片的Mac设置为目标盘模式(Target Disk Mode),连接另一部取证Mac后用专业取证工具启动。
时间机器本地快照
时间机器是MacOS中用来创建备份的一个应用程序。时间机器由用户自行开启,需要使用一个本地或远程磁盘来保存备份(时间机器磁盘)。如果没有时间机器磁盘,那么备份将会保存在本地。在APFS中,这样的备份被称为“时间机器本地快照”。
启动转换-BOOT CAMP
苹果启动转换是一项协助用户在Mac上安装Windows操作系统的技术。
重要提示
新款MacBook具有“自动开机”功能,在开盖之后会自动开机。另外,如果上盖打开且已连接电源(但MacBook处于关机状态),碰到触控板或键盘时也会自动开机。
在这种情况下,请马上按下ALT/OPTION键中断启动进程。
关于更多MAC取证知识可以联系我们。
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
