浅析Mac操作系统取证弘连网络共 2147字,需浏览 5分钟 ·2021-09-12 20:25 前言Mac电脑是苹果公司开发上市的一种电子产品,在Mac电脑上通常运行的是其自研的操作系统macOS。macOS操作系统基于unix,这种架构和linux同出一门,它内置的一些规则和命令同linux是一致的,并且苹果电脑设计的简洁性和高效性深受人们喜爱,尤其是软件开发人员。随着苹果电脑的普及,取证分析中很多情况下要考虑macOS的取证,本文以2020款intel芯片的MacBookPro为例,总结一些对于Mac电脑取证的方法,希望能起到抛砖引玉的效果。✦ 在线取证 ✦对于案件现场处于开机登陆状态下的Mac电脑,可以在执法记录仪或录像机的拍摄下,直接对重要数据以及易失数据进行提取和固定。在Mac系统下,许多快捷键和操作方式与Windows存在区别。一、Mac系统下的文件复制。Mac系统下拷贝/复制文件的快捷键是:Command-C , 粘贴的快捷键是:Command-V。如果直接右键点击文件使用复制的操作,将在同目录下生成一个副本文件。Mac电脑中的访达,类似于Windows中“我的电脑“,如果要访问系统的其他路径,可以打开终端输入open / 的命令。或者在访达中使用快捷键 Command-Shift-G可以在窗口中输入绝对路径直达文件夹。如果需要将文件拷贝至移动硬盘,移动硬盘的文件系统推荐使用ExFAT,可以直接进行读写。如果选择NTFS,Mac系统上若没有NTFS的软件来兼容,则不能对移动硬盘进行写入和修改文件;如果选择FAT32,虽然支持读写,但是FAT32不支持单个大于 4GB 的文件。二、Mac系统下的屏幕录制和截图。Mac系统下录屏的操作,可以选择Mac自带的录屏工具QuickTime Player,文件——新建屏幕录制。截图可以用Mac自带的截图工具截屏(老版本系统叫做抓图),也可以用快捷键Command-Shift-4 截取所选屏幕区域到一个文件,或者Command-Shift-3 截取全部屏幕到文件。三、Mac系统下如何计算哈希。提取完数据,对数据打包进行计算哈希的工具可以使用QuickHash,打开软件,拖入需要计算的文件,即可一键计算文件哈希值。此外,还可以使用Mac系统内置的命令来计算哈希,打开终端输入:openssl md5 filename ,计算文件md5 ,随后输入:openssl sha256 filename计算文件sha256。✦ 离线取证 ✦处于其他状态下的Mac电脑,也可以选择离线取证。根据Mac电脑对型号和版本,制作物理镜像,或逻辑镜像。取完镜像再使用火眼仿真软件对物理镜像仿真,或者使用火眼证据分析软件对镜像进行分析。接下来,我们以配备T2芯片的Mac电脑制作逻辑镜像为例。(注:不带T2芯片的mac电脑可以打物理镜像,只需将下面最后一个步骤tar命令改成dd命令即可。)一、 使用现场复制专用机(MC110s),开机后选择主机访问,磁盘选择110s内置的硬盘。挂载模式设置为读写,设置完成后启用主机连接。这里也可以选择使用exfat格式的移动硬盘。-复制机MC110s主机界面-二、选择合适的接口和连接线,将复制机与目标Mac设备连接(注:新款的Mac都用的是雷电3的接口)。三、开机Mac时,同时按组合键:Command+R,出现苹果标志以及进度条后松开。四、选择实用工具中的终端。五、在终端中输入命令csrutil disable,这个命令是关闭Mac的系统完整性保护。显示成功后重启电脑。六、选择实用工具中的磁盘工具,如果内置的磁盘开启了filevalt,需要点击装载磁盘,会需要输入开机密码。记下逻辑宗卷的挂载点(/Volumes/Macintosh HD),后面将会用到。 七、110S内置的硬盘,如果格式不是exfat就抹除数据为exfat格式。同样记住装载点(/Volumes/S)。八、进入Mac内置硬盘逻辑卷的目录(注意:如果名称中有空格,就要使用引号或者\)。九、进入Mac内置硬盘逻辑卷的目录,(注:如果名称中有空格,就要使用引号或者\)。十、用tar命令把逻辑宗卷里的内容都打包放进110s内置的硬盘里。命令tar -cvf 目录/文件名.tar *,根据这里的位置是tar -cvf ../s/macOS.tar *。等待结束即可。(注:非T2芯片加密可以使用dd命令,例如:dd if=/dev/disk1 of=/Volumes/REPOSITORY/out.dd)。往期分享:浅谈Elasticsearch数据库的重构与取证删库跑路?不用怕!记一次阿里云服务器删除后恢复【产品升级】刀锋现场快取V2.8更新发布【产品升级】雷电系列产品重磅升级,火眼插件更新各位看官如果想了解仿真、证据分析等产品详情,或者有任何建议和疑问,可公众号留言或拨打服务热线400-800 3721咨询。 浏览 373点赞 评论 收藏 分享 手机扫一扫分享分享 举报 评论图片表情视频评价全部评论推荐 浅析操作系统和Netty中的零拷贝机制不装逼的程序员0浅析操作系统和Netty中的零拷贝机制JAVA乐园0全新 Google 操作系统,可用于 PC 和 Mac马哥Linux运维0刚宣布!Mac 上能跑国产操作系统了程序IT圈0SPI浅析写点笔记0X2Y2浅析小楼杂谈0浅析傅里叶变换BrainTechnology0版权家-音视频图片取证产品-取证宝版权家-取证、公证产品:为广大律所、律师、权利人等维权主体提供区块链电子数据保全服务版全家科技0操作系统篇-操作系统概述喜欢奶茶的星晴0策略模式浅析写点笔记0点赞 评论 收藏 分享 手机扫一扫分享分享 举报
