淺析Mac操作系統(tǒng)取證

前言

Mac電腦是蘋果公司開發(fā)上市的一種電子產(chǎn)品，在Mac電腦上通常運(yùn)行的是其自研的操作系統(tǒng)macOS。macOS操作系統(tǒng)基于unix，這種架構(gòu)和linux同出一門，它內(nèi)置的一些規(guī)則和命令同linux是一致的，并且蘋果電腦設(shè)計(jì)的簡潔性和高效性深受人們喜愛，尤其是軟件開發(fā)人員。

隨著蘋果電腦的普及，取證分析中很多情況下要考慮macOS的取證，本文以2020款intel芯片的MacBookPro為例，總結(jié)一些對(duì)于Mac電腦取證的方法，希望能起到拋磚引玉的效果。

? 在線取證 ?

對(duì)于案件現(xiàn)場處于開機(jī)登陸狀態(tài)下的Mac電腦，可以在執(zhí)法記錄儀或錄像機(jī)的拍攝下，直接對(duì)重要數(shù)據(jù)以及易失數(shù)據(jù)進(jìn)行提取和固定。

在Mac系統(tǒng)下，許多快捷鍵和操作方式與Windows存在區(qū)別。

一、Mac系統(tǒng)下的文件復(fù)制。

Mac系統(tǒng)下拷貝/復(fù)制文件的快捷鍵是：Command-C , 粘貼的快捷鍵是：Command-V。如果直接右鍵點(diǎn)擊文件使用復(fù)制的操作，將在同目錄下生成一個(gè)副本文件。

Mac電腦中的訪達(dá)，類似于Windows中“我的電腦“，如果要訪問系統(tǒng)的其他路徑，可以打開終端輸入open /  的命令。或者在訪達(dá)中使用快捷鍵 Command-Shift-G可以在窗口中輸入絕對(duì)路徑直達(dá)文件夾。

如果需要將文件拷貝至移動(dòng)硬盤，移動(dòng)硬盤的文件系統(tǒng)推薦使用ExFAT，可以直接進(jìn)行讀寫。如果選擇NTFS，Mac系統(tǒng)上若沒有NTFS的軟件來兼容，則不能對(duì)移動(dòng)硬盤進(jìn)行寫入和修改文件；如果選擇FAT32，雖然支持讀寫，但是FAT32不支持單個(gè)大于 4GB 的文件。

二、Mac系統(tǒng)下的屏幕錄制和截圖。

Mac系統(tǒng)下錄屏的操作，可以選擇Mac自帶的錄屏工具QuickTime Player，文件——新建屏幕錄制。

截圖可以用Mac自帶的截圖工具截屏（老版本系統(tǒng)叫做抓圖），也可以用快捷鍵Command-Shift-4 截取所選屏幕區(qū)域到一個(gè)文件，或者Command-Shift-3 截取全部屏幕到文件。

三、Mac系統(tǒng)下如何計(jì)算哈希。

提取完數(shù)據(jù)，對(duì)數(shù)據(jù)打包進(jìn)行計(jì)算哈希的工具可以使用QuickHash，打開軟件，拖入需要計(jì)算的文件，即可一鍵計(jì)算文件哈希值。

此外，還可以使用Mac系統(tǒng)內(nèi)置的命令來計(jì)算哈希，打開終端輸入：openssl md5 filename ，計(jì)算文件md5 ，隨后輸入：openssl sha256 filename計(jì)算文件sha256。

? 離線取證 ?

處于其他狀態(tài)下的Mac電腦，也可以選擇離線取證。

根據(jù)Mac電腦對(duì)型號(hào)和版本，制作物理鏡像，或邏輯鏡像。取完鏡像再使用火眼仿真軟件對(duì)物理鏡像仿真，或者使用火眼證據(jù)分析軟件對(duì)鏡像進(jìn)行分析。

接下來，我們以配備T2芯片的Mac電腦制作邏輯鏡像為例。（注：不帶T2芯片的mac電腦可以打物理鏡像，只需將下面最后一個(gè)步驟tar命令改成dd命令即可。）

一、 使用現(xiàn)場復(fù)制專用機(jī)（MC110s），開機(jī)后選擇主機(jī)訪問，磁盤選擇110s內(nèi)置的硬盤。掛載模式設(shè)置為讀寫，設(shè)置完成后啟用主機(jī)連接。這里也可以選擇使用exfat格式的移動(dòng)硬盤。

-復(fù)制機(jī)MC110s主機(jī)界面-

二、選擇合適的接口和連接線，將復(fù)制機(jī)與目標(biāo)Mac設(shè)備連接（注：新款的Mac都用的是雷電3的接口）。

三、開機(jī)Mac時(shí)，同時(shí)按組合鍵：Command+R，出現(xiàn)蘋果標(biāo)志以及進(jìn)度條后松開。

四、選擇實(shí)用工具中的終端。

五、在終端中輸入命令csrutil disable，這個(gè)命令是關(guān)閉Mac的系統(tǒng)完整性保護(hù)。顯示成功后重啟電腦。

六、選擇實(shí)用工具中的磁盤工具，如果內(nèi)置的磁盤開啟了filevalt，需要點(diǎn)擊裝載磁盤，會(huì)需要輸入開機(jī)密碼。記下邏輯宗卷的掛載點(diǎn)（/Volumes/Macintosh HD），后面將會(huì)用到。

  

七、110S內(nèi)置的硬盤，如果格式不是exfat就抹除數(shù)據(jù)為exfat格式。同樣記住裝載點(diǎn)（/Volumes/S）。

八、進(jìn)入Mac內(nèi)置硬盤邏輯卷的目錄（注意：如果名稱中有空格，就要使用引號(hào)或者\(yùn))。

九、進(jìn)入Mac內(nèi)置硬盤邏輯卷的目錄，（注：如果名稱中有空格，就要使用引號(hào)或者\(yùn))。

十、用tar命令把邏輯宗卷里的內(nèi)容都打包放進(jìn)110s內(nèi)置的硬盤里。命令tar -cvf 目錄/文件名.tar *，根據(jù)這里的位置是tar -cvf ../s/macOS.tar *。等待結(jié)束即可。（注：非T2芯片加密可以使用dd命令，例如：dd if=/dev/disk1 of=/Volumes/REPOSITORY/out.dd）。

往期分享:

淺談Elasticsearch數(shù)據(jù)庫的重構(gòu)與取證

刪庫跑路？不用怕！記一次阿里云服務(wù)器刪除后恢復(fù)

【產(chǎn)品升級(jí)】刀鋒現(xiàn)場快取V2.8更新發(fā)布

【產(chǎn)品升級(jí)】雷電系列產(chǎn)品重磅升級(jí)，火眼插件更新

---

各位看官如果想了解仿真、證據(jù)分析等產(chǎn)品詳情，或者有任何建議和疑問，可公眾號(hào)留言或撥打服務(wù)熱線400-800 3721咨詢。