【技术攻坚】搭载Apple T2安全芯片设备制作脱密镜像

一、什么是T2芯片？

早在2018年，MacBook Pro发布时，就已经公布了T2芯片的存在。

T2芯片，全称为T2安全芯片，主要功能就是为Mac系列的数据安全保驾护航。与此同时，他也有着一个充当类似于M系列处理器的一个协处理器作用。

Apple T2 安全芯片是 Apple 为 Mac 定制的第二代硅芯片，它让mac book安全性又上新台阶。比如T2芯片所包含的安全隔区协处理器可保护触控 ID 数据，并为新的加密储存和安全启动功能奠定了基础。简单来说，就是将电脑上的所有硬件上了一把锁，所有硬件都是钥匙的一部分，一旦发现钥匙少了一块，就无法打开。

二、配备Apple T2 安全芯片的电脑

• iMac（视网膜 5K 显示屏，27 英寸，2020 年）

• iMac Pro

• Mac Pro（2019 年）

• Mac Pro（机架式机型，2019 年）

• Mac mini（2018 年）

• MacBook Air（视网膜显示屏，13 英寸，2020 年）

• MacBook Air（视网膜显示屏，13 英寸，2019 年）

• MacBook Air（视网膜显示屏，13 英寸，2018 年）

• MacBook Pro（13 英寸，2020 年，两个雷雳 3 端口）

• MacBook Pro（13 英寸，2020 年，四个雷雳 3 端口）

• MacBook Pro（16 英寸，2019 年）

• MacBook Pro（13 英寸，2019 年，两个雷雳 3 端口）

• MacBook Pro（15 英寸，2019 年）

• MacBook Pro（13 英寸，2019 年，四个雷雳 3 端口）

• MacBook Pro（15 英寸，2018 年）

• MacBook Pro（13 英寸，2018 年，四个雷雳 3 端口）

三、如何判断设备是否配备T2芯片

1. 按住 Option 键的同时，选取苹果菜单AppeLogo>“系统信息”。

2. 在边栏中，选择“控制器”或“iBridge”，具体取决于所使用的 macOS 版本。

3. 如果您在右侧看到“Apple T2 芯片”，即表示您的 Mac 配备 Apple T2 安全芯片。

四、T2芯片对取证的影响

T2芯片静态加密了物理磁盘上数据，而且这种加密对用户无感知。意味着磁盘镜像是加密的，但是用户并没有设置任何密码。

我们通常做法是进入recovery模式，使用tar打包全盘文件。

但这种取证方法存在诸多弊端：

• 丢失诸多文件属性 

• 不能仿真 

• 如果某些文件不能读取则会丢失

• 开机状态下，需要关机进入recovery模式操作复杂

五、T2芯片取证全新方式

使用刀锋现场快取V2.8.1版本，使用磁盘镜像功能，即可在开机状态（在线模式）完美制作全盘脱密镜像。

使用火眼仿真取证V4.2版本，完美动态仿真分析。

期待您及时更新使用，如果使用过程中有什么疑问，请及时联系我们。