【技术攻坚】搭载Apple T2安全芯片设备制作脱密镜像
一、什么是T2芯片?
二、配备Apple T2 安全芯片的电脑
iMac(视网膜 5K 显示屏,27 英寸,2020 年) iMac Pro
Mac Pro(2019 年)
Mac Pro(机架式机型,2019 年)
Mac mini(2018 年)
MacBook Air(视网膜显示屏,13 英寸,2020 年)
MacBook Air(视网膜显示屏,13 英寸,2019 年)
MacBook Air(视网膜显示屏,13 英寸,2018 年)
MacBook Pro(13 英寸,2020 年,两个雷雳 3 端口)
MacBook Pro(13 英寸,2020 年,四个雷雳 3 端口)
MacBook Pro(16 英寸,2019 年)
MacBook Pro(13 英寸,2019 年,两个雷雳 3 端口)
MacBook Pro(15 英寸,2019 年)
MacBook Pro(13 英寸,2019 年,四个雷雳 3 端口)
MacBook Pro(15 英寸,2018 年)
MacBook Pro(13 英寸,2018 年,四个雷雳 3 端口)
三、如何判断设备是否配备T2芯片
按住 Option 键的同时,选取苹果菜单AppeLogo>“系统信息”。
在边栏中,选择“控制器”或“iBridge”,具体取决于所使用的 macOS 版本。
如果您在右侧看到“Apple T2 芯片”,即表示您的 Mac 配备 Apple T2 安全芯片。
T2芯片静态加密了物理磁盘上数据,而且这种加密对用户无感知。意味着磁盘镜像是加密的,但是用户并没有设置任何密码。
我们通常做法是进入recovery模式,使用tar打包全盘文件。
但这种取证方法存在诸多弊端:
丢失诸多文件属性
不能仿真
如果某些文件不能读取则会丢失
开机状态下,需要关机进入recovery模式操作复杂
使用刀锋现场快取V2.8.1版本,使用磁盘镜像功能,即可在开机状态(在线模式)完美制作全盘脱密镜像。
使用火眼仿真取证V4.2版本,完美动态仿真分析。
期待您及时更新使用,如果使用过程中有什么疑问,请及时联系我们。