Mac取证你需要了解的那些事！

1、苹果取证对工作人员基本能力的要求？

做苹果取证必须熟悉苹果设备，掌握苹果电脑的基本操作技能，掌握苹果电脑取证的注意事项。

2、勘查现场遇到苹果电脑第一步做什么？

首先，碰到苹果机不要怕，先看状态，判断机器是开机、关机、还是休眠，再看电脑底部设备编号查询出厂年代，判断是否具备T2安全芯片。查看电脑的加密状态，判断是否启用了FileVault磁盘加密。判断当前苹果电脑的Windows系统是运行在虚拟机中，还是Bootcamp下的完整Windows系统。好比治病，望闻问切，观察是分析事物的第一步，也是取证工作的前提。

3、苹果取证过程中需掌握的常用按键有哪些？

启动过程中，按Option进入启动界面，按T进入Target模式，按Command+R进入恢复模式界面。当需要强制终止运行程序时，用Command+ Option+Esc（相当于windows的Ctrl+Alt+Del）。
须知：Command是Mac里最重要的修饰键，在多数情况下相当于Windows下的Ctrl键。

4、掌握如何进入Target目标磁盘模式对于取证有什么价值？

进入Target目标磁盘模式，是获取T2加密苹果电脑的优选方法，但也不是万能的，只读加载工具和用户密码仍然是重中之重。

5、利用取证盘启动苹果电脑会遇到哪些常见问题？

用WindowsPE,FE,Linux, macOS Base System启动苹果电脑方法各不同。为了适应不同型号的苹果电脑，建议用特制的macOS Base System。

启动过程蓝屏、停滞
启动后，未发现内置硬盘
动后，无法控制鼠标和键盘
启动过程加载了内置硬盘，造成数据改动，不能保证证据原始性
按Option键后根本无法出现启动磁盘
启动后提示输入管理员密码解密磁盘
被设置禁止从从外置磁盘启动
启动后不经过外置磁盘直接进入了macOS登陆界面
无法进入目标磁盘模式

6、苹果电脑镜像的常见格式有哪些？

DMG格式镜像，便于利用macOS平台进行后期分析；DD镜像，用于所有分析工具；KFF/KFF4格式。取证人员须根据所选择的取证工具，决定获取镜像的格式类型。

7、启动苹果电脑的方法演变是怎么样的？哪个方法目前在取证中最适用呢？

启动苹果电脑的方法有很多种，早期是通过光盘启动，随后又出现了U盘（Paladin），随着技术的发展和人们需求的变化，近十年盛行一些工具是Recon Imager、MacQuisition，为了更方便国人的使用习惯和解决免费、兼容性、速度的问题，郭老师还研发了深度取证系统、多通道取证系统等一系列的工具。同时，在启动连接接口使用方面，苹果电脑接口少，在有多种接口（USB、FireWire、雷电3）可选的情况下，首选雷电3接口，它是最高效的，传输速度更快！

8、为了更好的保持苹果电脑数据完整属性和数据的原始性，取证分析时应该用怎样的思路？

用特制的苹果系统获取苹果电脑数据，由于底层相通，数据完整性更好，获取数据更便捷、更高效；用苹果系统分析苹果数据，分析不同文件被Spotlight保存的元数据属性；用苹果系统的APP查看对应格式文件。

9、什么是T2芯片？哪些型号苹果电脑有T2加密芯片？

T2芯片，全称为T2安全芯片，主要功能就是为Mac系列的数据安全保驾护航。与此同时，他也有着一个充当类似于M系列处理器的一个协处理器作用。近两年出产的苹果计算机基本具备T2加密芯片。

10、具有T2安全芯片的苹果电脑，FileVault文件保险箱是默认开启的吗？

从图中可以看到，新购买的苹果计算机没有默认开启文件保险箱。用户后续可能会根据自己的喜好，决定何时启用FileVault加密。

11、苹果电脑取证的准备工作有哪些？

物品准备方面：

同时，良好的判断力是准备充分的重要因素，需要知道从如下方面入手去了解苹果电脑。

12、苹果计算机取证分析技术的面临的挑战是？

取证需要分析操作系统本身的数据和各种应用的数据，macOS更新快，应用种类繁多，没有一个工具是可以完美地解决macOS数据分析问题，因此需要多种工具如法证通、取证大师、MyHex、Sumuri RECON、Blacklight、Magnet AXIOM、Belkasoft Evidence Center等取证软件相互配合，需要自动化分析和手工分析相配合。特别是很多APP的痕迹尚无取证工具支持自动解析，需要更多地借助手工分析。同时，有时只有macOS原生系统，才能对某些苹果特有的元数据进行分析。

13、不同的分析方式有什么不同的侧重点？它们在取证工作中的占比一般是怎么样的？

说明：自动化的取证工具在用户熟悉的Windows环境下操作，用户易上手，但是对macOS特有格式文件、macOS自有元数据支持不好，可以处理50-60%的文档、图片和部分APP数据的分析。

14、哪里可以快速获得macOS取证的python脚本？有什么python工具推荐？

通过必应国际版，直接搜索“macOS Forensic python”，可以得到很多开源免费的资源。讲师特别推荐了免费开源的工具mac_apt,此工具具有如下特点：
• 支持对e01, VMDK, DD,split-DD,DMG格式镜像的分析
• 支持XLSX, CSV, Sqlite格式输出
• 可以分析文件/遗留痕迹并导出
• 支持zlib、lzvn、lzfse压缩文件格式
• 支持本地HFS&APFS解析器
• 可读取Spotlight数据库和统一日志文件。

15、如何构建理想的MacOS取证分析环境？

MacOS取证需要多种工具、途径相结合，理想的macOS数据分析，应该利用mocOS和Windows配合分析。因为macOS下，有一些特有的数据，只能在macOS系统下查看，一些特有的元数据，只能在macOS下过滤和搜索。虽然Windows取证工具能够解决一部分数据过滤、搜索、预览、数据库解析，但是，有些特有的元数据、Plist文件、数据库文件，仍需在macOS下进行分析。

16、推荐取证工作中可以用的虚拟机软件？

macOS下的虚拟机软件有Virtual Box、vmware Fusion等，但是郭老师用的比较多的是Virtual Box和Parallels Desktop。
Virtual box 推荐理由：可在Windows、macOS、Linux三个系统跨平台使用，兼容性好
Parallels Desktop 推荐理由：在Windows和macOS系统中数据交换、协同分析非常方便。
而作为取证分析目标来说，这三种虚拟机磁盘都是在苹果取证分析中需要重点关注的。实操中，分析人员应该主动去发现VHD、VMDK、VDI等虚拟磁盘文件。例如Parallels Desktop，虚拟机的包文件扩展名是*.PVM。解开包文件，可发现扩展名为*.HDD的虚拟磁盘镜像。而真正的虚拟磁盘文件，又在HDD包文件中，扩展名是*.hds。目前X-Ways Forensics尚不支持*.hds镜像格式解析。Myhex后续版本将加入对.hds镜像格式解析。

17、Macos下哪些是取证工作者需要重点关注的目录？

MacOS下值得关注的目录很多，Library、用户的和全局的分别有一个资源库。
取证工作中推荐一定要关注以下三个路径，他们包含的应用数据、痕迹数据较多。

Users/用户/Library/Application Support
Users/用户/Library/Container
/Library

18、如何查看终端程序输入的命令和时间？

熟悉Linux的朋友都是知道，可以通过分析.bash_history、.zsh_history文件查看曾经输入的终端命令。但在macOS中，如果一个用户启用了多个终端窗口，在不同时间分别在不同终端窗口中输入了不同的命令，那么如何分析命令的历史呢？利用开源工具mac_apt，可以对.bash_sessions目录下的多开终端历史痕迹进行分析。注意看看结果中的时间信息啊。

19、iMoive的视频编辑痕迹如何分析？

iMovie是一个苹果系统自带的APP，可以方便地进行视频创作。其实，用户创作视频时使用的原始素材都保留在 iMovie剪辑资源库中，包括原始视频、图片、声音文件等。当然，如果仔细分析时间属性和Plist文件，你还可以分析出用户导入原始素材、生成的剪辑视频的时间、存储位置和文件名。

20、苹果系统中的时间规则和Windows系统一样吗？

分析macOS数据，取证人员不要套用自己所熟悉的Windows中的创建、修改、访问、记录更新的时间规则。macOS的创建时间，并不等同于Windows的创建时间。因此，对于macOS时间分析，取证人员应该更多地去分析修改时间、添加时间，以及Spotlight记录的“上次打开时间”。同时需要提醒一下，大家日常使用的Windows取证工具，基本都不支持“上次打开时间”的分析。这个时间属性，是macOS的Spotlight特有的。