電子數(shù)據(jù)取證技術-課件-第6章-macOS操作系統(tǒng)取證技術

第6章macOS操作系統(tǒng)取證技術6.1macOS操作系統(tǒng)6.2macOS系統(tǒng)取證第6章macOS操作系統(tǒng)取證技術6.1macOS操作

6.1?macOS操作系統(tǒng)

6.1.1?macOS操作系統(tǒng)的特點macOS是蘋果公司針對蘋果計算機系列產品推出的計算機操作系統(tǒng)，2012年7月發(fā)布10.8版本后由MacOSX更名為OSX，2016年9月發(fā)布10.12版本后又更名為macOS，目前(截至2021年1月)的最新版本為2020年11月13日發(fā)布的macOSBigSur(版本號11.0)。

6.1?macOS操作系統(tǒng)

6.1.1?macOS

與蘋果公司其他知名的產品iPhone、iPad搭載的操作系統(tǒng)iOS類似，macOS也是結合蘋果計算機產品的硬件深度而定制的。在2005年之前，蘋果計算機使用的大多還是PowerPC架構的微處理器，與常見的x86架構的個人計算機產品互不兼容，直到2006年，蘋果公司推出了他們的第一款搭載Intelx86微處理器的MacBook，在同步發(fā)行的BootCamp的幫助下，蘋果計算機也支持Windows操作系統(tǒng)的安裝。

與蘋果公司其他知名的產品iPhone、iPad搭載的操

MacOSX體系結構包括Darwin、核心框架、應用框架層、用戶體驗層等幾部分，整個層次結構如圖6-1所示。這些層次中，Darwin層是整個系統(tǒng)的基礎，它是開源的，提供了底層的API；而其上的3層都是閉源的，屬于蘋果公司的私有產品。

MacOSX體系結構包括Darwin、核心框架、應圖6-1?MacOSX層次結構圖6-1?MacOSX層次結構

Darwin是一個開放源代碼、符合POSIX標準的類UNIX操作系統(tǒng)，操作系統(tǒng)的內核為XNU(XisNotUNIX)，最早是由NeXT公司為了NeXTSTEP操作系統(tǒng)開發(fā)的。XNU是一種混合式的核心，包含Mach微內核、BSD和DriverKit的驅動程序接口。蘋果公司收購NeXT公司后，XNU的Mach內核部分被替換為開放軟件基金會(OpenSoftwareFoundation)創(chuàng)建的社區(qū)版的Mach內核OSFMK，BSD部分被替換為FreeBSD，DriverKit改名為I/OKit，開發(fā)語言也由ObjectiveC變?yōu)镃++。XNU內核源代碼基于蘋果開源許可(ApplePublicSourceLicense)發(fā)布，可在蘋果公司的網站獲取(/source/xnu)。

Darwin是一個開放源代碼、符合POSIX標準的類U

核心框架有時也被稱為圖形和多媒體層，該層包括OpenGL、Quartz、QuickTime、應用程序服務等。

應用框架層包括Classic、Cocoa、Carbon和java等。

用戶體驗層用來提供用戶界面，包括aqua、Quicklook、spotlight等組件。

核心框架有時也被稱為圖形和多媒體層，該層包括OpenG

6.1.2不同版本macOS的差異

2001年推出的MacOSX10.0是macOS系列操作系統(tǒng)版本之間的一個明顯分界點，在這之前蘋果計算機搭載的還是現(xiàn)在已經被稱為ClassicMacOS的SystemSoftware7、MacOS8、MacOS9等操作系統(tǒng)。ClassicMacOS的最后一個版本是MacOS9.2.2，在這之后的MacOSX則是由名為Darwin的操作系統(tǒng)部分和名為aqua的圖形界面部分結合而成的。

6.1.2不同版本macOS的差異

2001年推出

早期的MacOSX10.0～10.3中仍然保留了對經典環(huán)境的兼容性，通過一個模擬環(huán)境，用戶可以將MacOS9作為一個程序來運行，在其中可以執(zhí)行MacOS9設計的程序。OSX10.9往后的版本均在應用商店中免費為蘋果計算機用戶提供，所以市面上主流的蘋果計算機中運行的操作系統(tǒng)基本都是最近發(fā)布的一兩個版本。

早期的MacOSX10.0～10.3中仍然保留了

MacOSX10.0發(fā)布于2001年3月，內部代號為Cheetah。相對于之前的MacOS，MacOSX是完全重寫的操作系統(tǒng)，功能并不十分齊全。

MacOSX10.1發(fā)布于2001年9月，內部代號為Puma。在上一代發(fā)布之后不久就推出了該版本，增加了對DVD播放的支持功能。

MacOSX10.2發(fā)布于2002年8月，代號為Jaguar。蘋果公司第一次公開使用貓科動物的名稱作為操作系統(tǒng)的代號，一直延續(xù)到了MacOSX10.8。該版本中首次加入了日志式文件系統(tǒng)，還加入了用于發(fā)現(xiàn)網絡上的設備和服務的Bonjour協(xié)議，如打印機或其他計算器；新增了即時通信客戶端iChat。

MacOSX10.0發(fā)布于2001年3月，內部代

MacOSX10.3發(fā)布于2003年10月，代號為Panther。該版本加入了對用戶目錄進行加密的功能FileVault，推出了新的Web瀏覽器Safari代替之前和微軟合作使用的InternetExplorerforMac。系統(tǒng)中的卷默認使用被稱為HFSJ的日志式文件系統(tǒng)。

MacOSX10.4發(fā)布于2005年4月，代號為Tiger。該版本中加入了基于索引的搜索工具Spotlight。除了標準的UNIX文件系統(tǒng)權限控制外，在HFS+的文件系統(tǒng)中還加入了基于訪問控制列表的權限管理機制。

MacOSX10.3發(fā)布于2003年10月，代號

MacOSX10.5發(fā)布于2007年10月，代號為Leopard。自動備份工具TimeMachine就是隨著這個版本發(fā)布的。該版本增加了在Finder中直接按空格鍵快速預覽文件的特性。同時推出的還有BootCamp軟件，可以用于在搭載Intel處理器的蘋果計算機上安裝微軟的Windows操作系統(tǒng)。

MacOSX10.6發(fā)布于2009年6月，代號為SnowLeopard。從該版本起，蘋果公司完全放棄了PowerPC架構處理器的支持，僅支持安裝在使用了Intel處理器的蘋果計算機上。該版本主要做了性能的改進，大部分系統(tǒng)應用程序進行了重新編譯以支持64位架構。

MacOSX10.5發(fā)布于2007年10月，代號

MacOSX10.7發(fā)布于2011年7月，代號為Lion。這是第一個通過應用商店MacAppStore發(fā)行的MacOS操作系統(tǒng)，系統(tǒng)中新增了Mac間文件共享的工具AirDrop，只要簡單的拖動操作就可以在設備間傳輸文件。隨系統(tǒng)發(fā)行的還有FaceTime，可以用于Mac、iPhone、iPad之間的視頻通話。新版本的加密工具FileVault2提供了全盤加密功能，添加了對外部硬盤的支持和用于修復系統(tǒng)的恢復分區(qū)功能。在MacOSX10.7.2的更新中推出了iCloud功能，支持郵件、日歷和聯(lián)系人的同步。

MacOSX10.7發(fā)布于2011年7月，代號為

OSX10.8發(fā)布于2012年7月，代號為MountainLion。蘋果公司將MacOSX重命名為OSX，去掉了開頭的Mac。該版本中iChat應用被Messages替換，新增了對iMessage的支持功能，可以與運行iOS的設備互通消息，用戶iPhone、iPad上的iMessage消息也會同步到MacOS上。系統(tǒng)中新增的備忘錄、提醒事項、通知中心、游戲中心等也多是源于iOS中的功能。

OSX10.8發(fā)布于2012年7月，代號為Moun

OSX10.9發(fā)布于2013年10月，代號為Mavericks。從該版本起，蘋果公司不再按慣例使用貓科動物的名稱作為系統(tǒng)代號，而是使用了景點的名字；用戶不再需要付費升級系統(tǒng)，在MacAppStore中即可免費獲取。與上一個版本類似，該版本中加入了同樣先在iOS操作系統(tǒng)中搭載的iBooks電子書程序和地圖程序，在Finder中加入了文件標簽功能和標簽頁瀏覽模式。該版本中iCloud的功能得到了增強，可以在設備間同步鑰匙串中存儲的密鑰。

OSX10.9發(fā)布于2013年10月，代號為Mav

OSX10.10發(fā)布于2014年10月，代號為Yosemite。隨之推出的iCloudDrive云存儲兼容OSX、iOS和Windows三大操作系統(tǒng)平臺，支持存儲應用數(shù)據(jù)、音樂、照片、視頻等各類數(shù)據(jù)，用戶可以方便地跨平臺存取自己的文件。新增的Continuity功能可以將iOS的內容同步至OSX，如使用Mac收發(fā)iPhone的短信、通過Mac撥打和接聽電話。此外，AirDrop也支持iOS和OSX之間的文件傳輸。

OSX10.10發(fā)布于2014年10月，代號為Yo

OSX10.11發(fā)布于2015年9月，代號為ElCapitan。這是一次小的系統(tǒng)更新，主要增強了OSX的設計和可用性，同時包括性能改進和安全更新。新增的系統(tǒng)完整性保護(SystemIntegrityProtection)禁止軟件以root身份在OSX上運行，并且目錄/System、/sbin、/usr僅供系統(tǒng)使用，系統(tǒng)會阻止用戶在這些目錄中的操作。

OSX10.11發(fā)布于2015年9月，代號為El

macOS10.12發(fā)布于2016年9月，代號為Sierra。蘋果公司將OSX重命名為macOS以匹配公司的其他操作系統(tǒng)(如iOS、watchOS、tvOS)的命名體系。蘋果公司對之前版本的Continuity功能進行了擴展，當用戶佩戴配對的AppleWatch靠近計算機時，計算機系統(tǒng)會自動解鎖，同一AppleID附件的macOS和iOS設備的剪貼板可以互通，用戶可以很方便地在不同設備間進行復制、剪切和粘貼操作。iCloudDrive新增了可以自動同步文稿和桌面上的文件的選項。Siri語音助手也被添加進該版本中。

macOS10.12發(fā)布于2016年9月，代號為Si

在macOSSierra中，蘋果公司發(fā)布了名為AppleFileSystem(APFS)的新文件系統(tǒng)，該文件系統(tǒng)面向固態(tài)存儲介質設計，原生支持多種加密方式(如全盤加密、單密鑰加密、多密鑰加密)，但在當時的系統(tǒng)中并沒有成為默認的文件系統(tǒng)，只是增加了支持而已。

在macOSSierra中，蘋果公司發(fā)布了名為Apple

macOS10.13發(fā)布于2017年9月，代號為HighSierra。在該版本中，APFS成為默認的文件系統(tǒng)，取代了之前已使用多年的文件系統(tǒng)HFS+。新增的高效視頻編碼(HighEfficiencyVideoCoding，HEVC)支持對數(shù)字視頻相關的取證提出了新的挑戰(zhàn)。

macOS10.13發(fā)布于2017年9月，代號為Hi

macOS10.14發(fā)布于2018年9月，代號為Mojave。這是最后一個可運行32位應用的macOS版本。該版本新增了與iOS系統(tǒng)中的股市、語音備忘錄和家庭App類似的應用程序。Mac和iPhone的互通功能進一步加強，用戶可以用iPhone就近拍張照片或掃描文檔，然后讓它自動出現(xiàn)在Mac上。

macOS10.14發(fā)布于2018年9月，代號為Mo

2019年蘋果發(fā)布macOS10.15，代號Catalina。macOSCatalina用AppleMusic、ApplePodcasts和AppleTV取代了已存在多年的經典iTunes軟件。通過Sidecar分屏功能，用戶的iPad可以作為Mac的一個擴展屏幕使用。另外，macOSCatalina的安全性也進一步提升，其Gatekeeper功能現(xiàn)可以檢查所有應用是否存在已知的安全問題，新的數(shù)據(jù)保護流程需要所有應用在訪問用戶文檔之前獲得許可。

2019年蘋果發(fā)布macOS10.15，代號Cata

2020年蘋果發(fā)布了macOS11.0，其正式名稱為macOSBigSur。該版本的系統(tǒng)界面進行了重新設計，包括內置應用的圖標、原生應用界面的一致性、桌面的程序和菜單欄等方面都有全新的變化；另外，還增加了Safari瀏覽器的翻譯功能等。

2020年蘋果發(fā)布了macOS11.0，其正式名稱為

6.1.3?macOS取證主要信息源

macOS是類UNIX操作系統(tǒng)，所以從取證角度上與Windows有很大的不同，與UNIX/Linux操作系統(tǒng)的取證存在一些相似點，但作為圖形用戶界面的操作系統(tǒng)，其與一般用于服務器中時命令行界面的UNIX/Linux操作系統(tǒng)取證操作又有很多差異。

6.1.3?macOS取證主要信息源

macOS是

從文件系統(tǒng)目錄結構看，macOS一部分目錄是UNIX通用目錄，如/bin(UNIX命令存放目錄)、/sbin(UNIX系統(tǒng)管理類命令存放目錄)、/usr(第三方程序安裝目錄)、/dev(設備文件存放目錄)、/etc(系統(tǒng)配置文件存放目錄)、/tmp(臨時文件存放目錄)、/var(存放經常變化的文件)。其中，/etc、/tmp、/var目錄在取證中是需要重點關注的地方，此3個目錄實際上分別為指向/private/etc、/private/tmp和/private/var的鏈接。

macOS還有一部分目錄是其特有的目錄，從概念上講，包括User域(Domain)、Local域、Network域、System域等。

從文件系統(tǒng)目錄結構看，macOS一部分目錄是UNIX通

User域包含特定用戶的資源，是用戶的主目錄。本地主目錄的位置為“/Users/用戶名/”(注：用戶名不同，位置也不同。若用戶名為bob，則主目錄位置為/Users/bob/，下同)。若為網絡用戶，則主目錄的位置為“/Network/Users/用戶名/”。用戶主目錄存有用戶的個人資料和配置，在取證中是需要重點關注的地方。該目錄下幾個常見的標準目錄是取證時的重要信息資源，如Trash、Applications、Desktop、Documents、Library、Movies、Music、PicturesSites等，如表6-1所示。

User域包含特定用戶的資源，是用戶的主目錄。本地主目電子數(shù)據(jù)取證技術--課件--第6章-macOS操作系統(tǒng)取證技術

macOS中的鑰匙串功能保存著操作系統(tǒng)中的各種密鑰、應用程序密碼、網站密碼、無線網絡密碼、證書文件，往往會存有一些對案件調查有利的信息。鑰匙串界面如圖6-2所示。

macOS中的鑰匙串功能保存著操作系統(tǒng)中的各種密鑰圖6-2鑰匙串界面圖6-2鑰匙串界面

macOS操作系統(tǒng)中提供了很多便利的程序，如郵件客戶端、備忘錄、便箋、提醒事項、信息等，往往在這些應用中會存有一些關鍵信息，對調查取證有很大的幫助。

macOS操作系統(tǒng)中提供了很多便利的程序，如郵件客戶端

6.2?macOS系統(tǒng)取證

6.2.1?macOS支持的文件系統(tǒng)及特點1.?HFS+macOS10.12及之前版本的macOS主要使用HFS+?文件系統(tǒng)，HFS+?是HFS文件系統(tǒng)的更新版本，又名HFSPlus、HFSExtended、MacOSExtended。HFS+?改進了HFS文件系統(tǒng)的結構和對數(shù)據(jù)管理中存在的不足。HFS+?文件系統(tǒng)的主要特點體現(xiàn)在以下幾個方面。

6.2?macOS系統(tǒng)取證

6.2.1?macOS

1)采用32位數(shù)記錄分配塊數(shù)量

HFS和HFS+文件系統(tǒng)對磁盤卷采用分塊進行分配，將一個卷分成等大的分配塊(AllocationBlocks)。

2)目錄樹節(jié)點大小增加到4KB

HFS文件系統(tǒng)的目錄樹節(jié)點大小為512B；由于HFS+?文件系統(tǒng)目錄樹索引節(jié)點需要存儲附加指針和節(jié)點描述符兩個關鍵值，因此HFS+?文件系統(tǒng)的目錄樹節(jié)點大小增加到4KB。

3)單一文件大小得到提升

HFS文件系統(tǒng)的單一文件大小上限為231bit，而HFS+?文件系統(tǒng)的單一文件大小最大可達到263bit。

1)采用32位數(shù)記錄分配塊數(shù)量

HFS和HFS+

4)支持長文件名

HFS文件系統(tǒng)對文件名最長支持到31個字符；而HFS+文件系統(tǒng)對文件名采用Unicode編碼，最長達到255個字符。

4)支持長文件名

HFS文件系統(tǒng)對文件名最長支持

2.?APFS

蘋果公司在2016年的WWDC(WorldwideDevelopersConference，全球開發(fā)者大會)上正式公布了全新的文件系統(tǒng)APFS，macOS10.12版本中加入了實驗性的APFS文件系統(tǒng)支持，在隨后的macOS10.13中，APFS文件系統(tǒng)正式成為系統(tǒng)默認的文件系統(tǒng)。蘋果開發(fā)APFS的目的是修復HFS+中存在的缺陷，該文件系統(tǒng)對閃存/固態(tài)存儲設備進行了優(yōu)化，支持多種加密方法。在相對較小或是很大容量的存儲設備中都可以使用該文件系統(tǒng)，在蘋果公司多個平臺的操作系統(tǒng)，如macOS、iOS、tvOS、watchOS和audioOS中也使用了APFS。

2.?APFS

蘋果公司在2016年的WWDC(

APFS的主要特點包括以下幾個方面：

(1)寫入時復制(Copy-on-Write)元數(shù)據(jù)，在崩潰、斷電等情況下保護數(shù)據(jù)。

(2)文件和目錄克隆不會再重復占用一遍空間，從而使得克隆更快，更節(jié)省存儲空間。對克隆的文件所做的修改會被寫入其他區(qū)域，與原始文件相同的部分在文件系統(tǒng)中是共享的。

(3)快照功能。保存文件系統(tǒng)的只讀實例，使備份和還原操作變得更高效，可以將文件還原到一個指定的時間點。

APFS的主要特點包括以下幾個方面：

(1)寫入

(4)空間共享。多個APFS文件系統(tǒng)的卷可以共用一個APFS容器下的物理磁盤空間，每個卷的可用空間都是當前容器中的可用空間。支持快速調整卷大小而不用重新分區(qū)。

(5)加密支持是APFS設計中重要的一部分，APFS支持全盤加密、文件加密、敏感元數(shù)據(jù)加密。根據(jù)系統(tǒng)和硬件的不同，APFS使用AES-XTS或AES-CBC進行加密。除支持單密鑰加密外，APFS還支持多密鑰加密。在多密鑰加密模型中，每個文件使用不同的密鑰進行加密，敏感元數(shù)據(jù)使用其他密鑰進行加密。多密鑰加密確保了數(shù)據(jù)的安全，即使獲取了設備密鑰，依然無法解密部分文件。

(4)空間共享。多個APFS文件系統(tǒng)的卷可以共用一個

(6)稀疏文件存儲。只有當真正需要存儲空間時才會分配空間，可以節(jié)省磁盤空間，用以存儲更大的文件。

(7)原子級安全存儲基元(AtomicSafe-savePrimitives)。從用戶的角度來看，事務要么完成，要么不完成。

在終端執(zhí)行diskutilapfslist命令，可以查看APFS容器中的卷列表，如圖6-3所示。

(6)稀疏文件存儲。只有當真正需要存儲空間時才會分配圖6-3查看APFS容器中的卷列表圖6-3查看APFS容器中的卷列表

3.其他

除了支持HFS、HFS+、APFS這些macOS獨有的文件系統(tǒng)外，macOS還支持FAT、FAT32、ExFAT的讀寫，支持讀取微軟的NTFS文件系統(tǒng)，但需要安裝第三方驅動程序才能實現(xiàn)寫入操作。所以，在對macOS操作系統(tǒng)進行在線取證的操作中推薦使用ExFAT文件系統(tǒng)的外部磁盤，這樣也可以方便地讀取Windows操作系統(tǒng)機器中的數(shù)據(jù)。

3.其他

除了支持HFS、HFS+、APFS這些

目前，大多取證軟件對APFS的支持還不是很完善，EnCaseForensics在V8.07中新增了對APFS的支持，BlackBagTechnologies公司的Blacklight2018已完全支持對APFS的分析，WinHex/X-WaysForensics目前還只能識別APFS分區(qū)卻不能解析文件，ParagonSoftware公司的APFSforWindows支持在Windows操作系統(tǒng)中掛載包含APFS文件系統(tǒng)的磁盤。

目前，大多取證軟件對APFS的支持還不是很完善，EnC

6.2.2?macOS日志文件、配置文件分析

1.常見系統(tǒng)的基本信息

macOS操作系統(tǒng)的基本信息主要包括產品名稱、當前系統(tǒng)版本、完整計算機名、主機名和最后登錄用戶等，它們分別存放在?/System/Library/CoreServices/SystemVersion.plist、/Library/Preferences?/SystemConfiguration/preferences.plist、/Library/Preferences/com.apple.loginwindow.plist中。

6.2.2?macOS日志文件、配置文件分析

1.

Plist(PropertyList，屬性列表)是一種用來存儲序列化后的對象的文件。屬性列表文件的擴展名為.plist，因此通常被稱為Plist文件。Plist文件中存儲的數(shù)據(jù)是抽象的，其采用的文件格式可以不止一種，有XML格式的文件，也有二進制格式的文件。在macOS中，Plist通常用于存儲配置文件、歷史記錄文件。蘋果公司的開發(fā)工具Xcode中包含一個可以以樹形結構查看與編輯Plist文件的工具。

Plist(PropertyList，屬性列表)是一

/System/Library/CoreServices/SystemVersion.plist中保存了當前系統(tǒng)版本、產品版權等信息，文件內容如圖6-4所示。其中，ProductBuildVersion、ProductVersion均為當前版本信息。圖6-4?SystemVersion.plist文件內容

/System/Library/CoreService

/Library/Preferences/SystemConfiguration/preferences.plist中保存了計算機名、主機名等信息，文件內容如圖6-5所示。其中，ComputerName為完整的計算機名，LocalHostName為主機名。圖6-5?preferences.plist文件內容

/Library/Preferences/System

/Library/Preferences/com.apple.loginwindow.plist中保存了最后登錄的用戶信息，如圖6-6所示。其中，lastUserName為最后登錄的用戶的用戶名。圖6-6?com.apple.loginwindow.plist文件內容

/Library/Preferences/com.ap

/Library/Receipts/InstallHistory.plist中保存了系統(tǒng)和應用的安裝記錄，如圖6-7所示。其中，Item0為macOS操作系統(tǒng)安裝的記錄，Item1向后的記錄則包含了后續(xù)的應用安裝、在取證中常用到的其他一些數(shù)據(jù)保存位置如表6-2所示。

/Library/Receipts/InstallHi圖6-7?InstallHistory.plist文件內容圖6-7?InstallHistory.plist文件內電子數(shù)據(jù)取證技術--課件--第6章-macOS操作系統(tǒng)取證技術

2.日志文件的取證

日志文件是macOS常見的取證信息來源，一般日志文件位于/private/var/log目錄下。其中，有一些日志與Linux或UNIX相同，此處不另行闡述；也有一些特殊日志或特殊格式的日志。

在private/var/log目錄下，常見的日志文件有system.log、system.log.0.gz，通過這些日志文件可以獲得開關機記錄的用戶名和時間，如圖6-8所示。

2.日志文件的取證

日志文件是macOS常見的取圖6-8?private/var/log目錄下的系統(tǒng)日志圖6-8?private/var/log目錄下的系統(tǒng)日志

macOS的部分系統(tǒng)日志文件擴展名為?.asl(AppleSystemLogger)，可使用控制臺程序打開它們，如圖6-9所示。通過網址?/*/documentation/os/logging*/可查看日志文件的具體介紹。

macOS的部分系統(tǒng)日志文件擴展名為?.asl(App圖6-9使用控制臺程序打開?.asl文件圖6-9使用控制臺程序打開?.asl文件

另外，在macOS10.12版本以后，蘋果公司采用了一種新的日志UnifiedLog，蘋果公司對外不公開該文件格式，僅提供讀寫日志的接口。該日志存儲在?/var/db/diagnostics和/var/db/uuidtext兩個目錄下，其中包含大量的信息，如網絡連接、USB使用記錄信息、系統(tǒng)啟動信息、系統(tǒng)備份、郵件同步、iCloud連接設備等。

除了使用專用取證工具對這些信息進行自動分析外，還可以使用/usr/bin/log命令或者蘋果公司提供的應用控制臺工具進行分析。

另外，在macOS10.12版本以后，蘋果公司采用了

6.2.3?macOS網絡信息分析

在macOS中，計算機網絡配置主要查看/Library/Preferences/SystemConfiguration/preferences.plist文件，在private/var/db/dhcpclient/leases/目錄下存儲著通過DHCP獲取的詳細網絡配置信息，如圖6-10所示。有關網絡連接或網絡行為的信息可以通過對相關應用的日志進行分析。

6.2.3?macOS網絡信息分析

在macOS中圖6-10?DHCP網絡配置信息圖6-10?DHCP網絡配置信息

6.2.4?macOS瀏覽器信息分析

Safari是macOS中常用的瀏覽器，老版本的Safari瀏覽記錄以Plist格式的文件保存在“/Users/用戶名/Library/Safari”目錄中，文件名為History.plist。History.plist中的WebHistoryDomains.v2為訪問的網址的主域名，WebHistoryDates中包含訪問的網址、title(頁面標題)、visitCount(訪問次數(shù))、lastVisitedDate(最后訪問時間)等。新版本的Safari瀏覽記錄以SQLite格式的數(shù)據(jù)庫文件保存在“/Users/用戶名/Library/Safari”目錄中，文件名為History.db。

6.2.4?macOS瀏覽器信息分析

Safari

SQLite是遵守ACID(AtomicityConsistencyIsolationDurability，原子性、一致性、隔離性、耐久性)的關系型數(shù)據(jù)庫管理系統(tǒng)，它是由D.RichardHipp使用C語言編寫的開放源代碼的嵌入式數(shù)據(jù)庫引擎。與許多其他數(shù)據(jù)庫管理系統(tǒng)不同，SQLite不是一個客戶端/服務器結構的數(shù)據(jù)庫引擎，它被集成在用戶程序中，支持大部分主流操作系統(tǒng)，在iOS和Android這類移動平臺操作系統(tǒng)中使用非常廣泛。有很多免費的第三方工具可以用來查看和編輯SQLite數(shù)據(jù)庫文件，如DBBrowserforSQLite(http://sqlitebrow)。

SQLite是遵守ACID(AtomicityCon

History.db中的history_items、history_visits表中的數(shù)據(jù)為瀏覽器的歷史記錄，如圖6-11和圖6-12所示。其中，history_items表中的url為頁面鏈接，domain_expansion為鏈接的部分域名，visit_count為該鏈接的總訪問次數(shù)；history_visits表中的visit_time為訪問時間，title為頁面標題，history_item的值為對應history_items表中的id值。

History.db中的history_items、h圖6-11history_items表中的內容圖6-11history_items表中的內容圖6-12history_visits表中的內容圖6-12history_visits表中的內容

在菜單欄中選擇“歷史記錄”→“顯示所有歷史記錄”命令，顯示的歷史記錄如圖6-13所示。

在菜單欄中選擇“歷史記錄”→“顯示所有歷史記錄”命令，圖6-13歷史記錄圖6-13歷史記錄

Safari的書簽以Plist格式的文件保存在“/Users/用戶名/Library/Safari”目錄中，文件名為Bookmarks.plist。書簽數(shù)據(jù)保存在Item項中，URLString為頁面鏈接，title為頁面標題，previewText為備注信息，Title為書簽中的文件夾標題。Bookmarks.plist文件內容如圖6-14所示。

Safari的書簽以Plist格式的文件保存在“/Us圖6-14?Bookmarks.plist文件內容圖6-14?Bookmarks.plist文件內容

Safari的文件下載記錄也以Plist格式的文件保存在“/Users/用戶名/Library/Safari”目錄中，文件名為Downloads.plist。其中，DownloadEntryURL為文件下載鏈接，DownloadEntryPath為文件保存路徑。Downloads.plist文件內容如圖6-15所示。

Safari的文件下載記錄也以Plist格式的文件保存圖6-15?Downloads.plist文件內容圖6-15?Downloads.plist文件內容

6.2.5?macOS郵件客戶端信息分析

郵件客戶端的數(shù)據(jù)保存在“/User/用戶名/Mail/V4”目錄中。注意，老版本的文件格式可能不同。

“/User/用戶名/Mail/V4”中的“*.mbox”文件保存了所有郵件，擴展名為?.emlx表示完整的郵件；擴展名為?.partial.emlx表示只收取了郵件頭，沒有收取到正文、附件?！?.mbox”文件內容如圖6-16表示。

6.2.5?macOS郵件客戶端信息分析

郵件客戶圖6-16?“*.mbox”文件內容圖6-16?“*.mbox”文件內容

6.2.6其他信息源分析

除前述信息外，macOS中還存在很多可能有價值的信息。例如，系統(tǒng)中還有其他緩存文件夾和臨時文件，其中有一些會隨著關機操作而被清空，還有一些緩存信息會越來越多。通過對這些文件夾或者文件進行分析，有利于分析用戶的行為，發(fā)現(xiàn)相關的證據(jù)。/private/var/tmp目錄下存放的是臨時文件，/private/var/folders目錄下存放的是文件預覽時使用的緩存目錄，/Library/Caches目錄下存放的是各種應用的緩存數(shù)據(jù)目錄，/private/var/vm/sleepimage目錄下存放的是休眠文件。

6.2.6其他信息源分析

除前述信息外，macOS

另外，如果用戶有TimeMachine，則其對文件做的版本管理的備份數(shù)據(jù)也可能很有價值。如果有地圖數(shù)據(jù)，則一般被保存在“Users/用戶名Library/Containers/com.apple.Maps/Data/Library/Maps”目錄下的GeoHistory.mapsdata和GeoBookmarks.plist這兩個Plist格式的文件中，前者為搜索記錄，后者為收藏記錄。

目前，針對macOS的取證工具有Sumuri公司的Recon、ReconImager，BlackBagTechnologies公司的BlackLight、MacQuisition。這些軟件都可以做到一鍵分析，能獲取系統(tǒng)中的常見數(shù)據(jù)。

另外，如果用戶有TimeMachine，則其對文件做第6章macOS操作系統(tǒng)取證技術6.1macOS操作系統(tǒng)6.2macOS系統(tǒng)取證第6章macOS操作系統(tǒng)取證技術6.1macOS操作

6.1?macOS操作系統(tǒng)

6.1.1?macOS操作系統(tǒng)的特點macOS是蘋果公司針對蘋果計算機系列產品推出的計算機操作系統(tǒng)，2012年7月發(fā)布10.8版本后由MacOSX更名為OSX，2016年9月發(fā)布10.12版本后又更名為macOS，目前(截至2021年1月)的最新版本為2020年11月13日發(fā)布的macOSBigSur(版本號11.0)。

6.1?macOS操作系統(tǒng)

6.1.1?macOS

與蘋果公司其他知名的產品iPhone、iPad搭載的操作系統(tǒng)iOS類似，macOS也是結合蘋果計算機產品的硬件深度而定制的。在2005年之前，蘋果計算機使用的大多還是PowerPC架構的微處理器，與常見的x86架構的個人計算機產品互不兼容，直到2006年，蘋果公司推出了他們的第一款搭載Intelx86微處理器的MacBook，在同步發(fā)行的BootCamp的幫助下，蘋果計算機也支持Windows操作系統(tǒng)的安裝。

與蘋果公司其他知名的產品iPhone、iPad搭載的操

MacOSX體系結構包括Darwin、核心框架、應用框架層、用戶體驗層等幾部分，整個層次結構如圖6-1所示。這些層次中，Darwin層是整個系統(tǒng)的基礎，它是開源的，提供了底層的API；而其上的3層都是閉源的，屬于蘋果公司的私有產品。

MacOSX體系結構包括Darwin、核心框架、應圖6-1?MacOSX層次結構圖6-1?MacOSX層次結構

Darwin是一個開放源代碼、符合POSIX標準的類UNIX操作系統(tǒng)，操作系統(tǒng)的內核為XNU(XisNotUNIX)，最早是由NeXT公司為了NeXTSTEP操作系統(tǒng)開發(fā)的。XNU是一種混合式的核心，包含Mach微內核、BSD和DriverKit的驅動程序接口。蘋果公司收購NeXT公司后，XNU的Mach內核部分被替換為開放軟件基金會(OpenSoftwareFoundation)創(chuàng)建的社區(qū)版的Mach內核OSFMK，BSD部分被替換為FreeBSD，DriverKit改名為I/OKit，開發(fā)語言也由ObjectiveC變?yōu)镃++。XNU內核源代碼基于蘋果開源許可(ApplePublicSourceLicense)發(fā)布，可在蘋果公司的網站獲取(/source/xnu)。

Darwin是一個開放源代碼、符合POSIX標準的類U

核心框架有時也被稱為圖形和多媒體層，該層包括OpenGL、Quartz、QuickTime、應用程序服務等。

應用框架層包括Classic、Cocoa、Carbon和java等。

用戶體驗層用來提供用戶界面，包括aqua、Quicklook、spotlight等組件。

核心框架有時也被稱為圖形和多媒體層，該層包括OpenG

6.1.2不同版本macOS的差異

2001年推出的MacOSX10.0是macOS系列操作系統(tǒng)版本之間的一個明顯分界點，在這之前蘋果計算機搭載的還是現(xiàn)在已經被稱為ClassicMacOS的SystemSoftware7、MacOS8、MacOS9等操作系統(tǒng)。ClassicMacOS的最后一個版本是MacOS9.2.2，在這之后的MacOSX則是由名為Darwin的操作系統(tǒng)部分和名為aqua的圖形界面部分結合而成的。

6.1.2不同版本macOS的差異

2001年推出

早期的MacOSX10.0～10.3中仍然保留了對經典環(huán)境的兼容性，通過一個模擬環(huán)境，用戶可以將MacOS9作為一個程序來運行，在其中可以執(zhí)行MacOS9設計的程序。OSX10.9往后的版本均在應用商店中免費為蘋果計算機用戶提供，所以市面上主流的蘋果計算機中運行的操作系統(tǒng)基本都是最近發(fā)布的一兩個版本。

早期的MacOSX10.0～10.3中仍然保留了

MacOSX10.0發(fā)布于2001年3月，內部代號為Cheetah。相對于之前的MacOS，MacOSX是完全重寫的操作系統(tǒng)，功能并不十分齊全。

MacOSX10.1發(fā)布于2001年9月，內部代號為Puma。在上一代發(fā)布之后不久就推出了該版本，增加了對DVD播放的支持功能。

MacOSX10.2發(fā)布于2002年8月，代號為Jaguar。蘋果公司第一次公開使用貓科動物的名稱作為操作系統(tǒng)的代號，一直延續(xù)到了MacOSX10.8。該版本中首次加入了日志式文件系統(tǒng)，還加入了用于發(fā)現(xiàn)網絡上的設備和服務的Bonjour協(xié)議，如打印機或其他計算器；新增了即時通信客戶端iChat。

MacOSX10.0發(fā)布于2001年3月，內部代

MacOSX10.3發(fā)布于2003年10月，代號為Panther。該版本加入了對用戶目錄進行加密的功能FileVault，推出了新的Web瀏覽器Safari代替之前和微軟合作使用的InternetExplorerforMac。系統(tǒng)中的卷默認使用被稱為HFSJ的日志式文件系統(tǒng)。

MacOSX10.4發(fā)布于2005年4月，代號為Tiger。該版本中加入了基于索引的搜索工具Spotlight。除了標準的UNIX文件系統(tǒng)權限控制外，在HFS+的文件系統(tǒng)中還加入了基于訪問控制列表的權限管理機制。

MacOSX10.3發(fā)布于2003年10月，代號

MacOSX10.5發(fā)布于2007年10月，代號為Leopard。自動備份工具TimeMachine就是隨著這個版本發(fā)布的。該版本增加了在Finder中直接按空格鍵快速預覽文件的特性。同時推出的還有BootCamp軟件，可以用于在搭載Intel處理器的蘋果計算機上安裝微軟的Windows操作系統(tǒng)。

MacOSX10.6發(fā)布于2009年6月，代號為SnowLeopard。從該版本起，蘋果公司完全放棄了PowerPC架構處理器的支持，僅支持安裝在使用了Intel處理器的蘋果計算機上。該版本主要做了性能的改進，大部分系統(tǒng)應用程序進行了重新編譯以支持64位架構。

MacOSX10.5發(fā)布于2007年10月，代號

MacOSX10.7發(fā)布于2011年7月，代號為Lion。這是第一個通過應用商店MacAppStore發(fā)行的MacOS操作系統(tǒng)，系統(tǒng)中新增了Mac間文件共享的工具AirDrop，只要簡單的拖動操作就可以在設備間傳輸文件。隨系統(tǒng)發(fā)行的還有FaceTime，可以用于Mac、iPhone、iPad之間的視頻通話。新版本的加密工具FileVault2提供了全盤加密功能，添加了對外部硬盤的支持和用于修復系統(tǒng)的恢復分區(qū)功能。在MacOSX10.7.2的更新中推出了iCloud功能，支持郵件、日歷和聯(lián)系人的同步。

MacOSX10.7發(fā)布于2011年7月，代號為

OSX10.8發(fā)布于2012年7月，代號為MountainLion。蘋果公司將MacOSX重命名為OSX，去掉了開頭的Mac。該版本中iChat應用被Messages替換，新增了對iMessage的支持功能，可以與運行iOS的設備互通消息，用戶iPhone、iPad上的iMessage消息也會同步到MacOS上。系統(tǒng)中新增的備忘錄、提醒事項、通知中心、游戲中心等也多是源于iOS中的功能。

OSX10.8發(fā)布于2012年7月，代號為Moun

OSX10.9發(fā)布于2013年10月，代號為Mavericks。從該版本起，蘋果公司不再按慣例使用貓科動物的名稱作為系統(tǒng)代號，而是使用了景點的名字；用戶不再需要付費升級系統(tǒng)，在MacAppStore中即可免費獲取。與上一個版本類似，該版本中加入了同樣先在iOS操作系統(tǒng)中搭載的iBooks電子書程序和地圖程序，在Finder中加入了文件標簽功能和標簽頁瀏覽模式。該版本中iCloud的功能得到了增強，可以在設備間同步鑰匙串中存儲的密鑰。

OSX10.9發(fā)布于2013年10月，代號為Mav

OSX10.10發(fā)布于2014年10月，代號為Yosemite。隨之推出的iCloudDrive云存儲兼容OSX、iOS和Windows三大操作系統(tǒng)平臺，支持存儲應用數(shù)據(jù)、音樂、照片、視頻等各類數(shù)據(jù)，用戶可以方便地跨平臺存取自己的文件。新增的Continuity功能可以將iOS的內容同步至OSX，如使用Mac收發(fā)iPhone的短信、通過Mac撥打和接聽電話。此外，AirDrop也支持iOS和OSX之間的文件傳輸。

OSX10.10發(fā)布于2014年10月，代號為Yo

OSX10.11發(fā)布于2015年9月，代號為ElCapitan。這是一次小的系統(tǒng)更新，主要增強了OSX的設計和可用性，同時包括性能改進和安全更新。新增的系統(tǒng)完整性保護(SystemIntegrityProtection)禁止軟件以root身份在OSX上運行，并且目錄/System、/sbin、/usr僅供系統(tǒng)使用，系統(tǒng)會阻止用戶在這些目錄中的操作。

OSX10.11發(fā)布于2015年9月，代號為El

macOS10.12發(fā)布于2016年9月，代號為Sierra。蘋果公司將OSX重命名為macOS以匹配公司的其他操作系統(tǒng)(如iOS、watchOS、tvOS)的命名體系。蘋果公司對之前版本的Continuity功能進行了擴展，當用戶佩戴配對的AppleWatch靠近計算機時，計算機系統(tǒng)會自動解鎖，同一AppleID附件的macOS和iOS設備的剪貼板可以互通，用戶可以很方便地在不同設備間進行復制、剪切和粘貼操作。iCloudDrive新增了可以自動同步文稿和桌面上的文件的選項。Siri語音助手也被添加進該版本中。

macOS10.12發(fā)布于2016年9月，代號為Si

在macOSSierra中，蘋果公司發(fā)布了名為AppleFileSystem(APFS)的新文件系統(tǒng)，該文件系統(tǒng)面向固態(tài)存儲介質設計，原生支持多種加密方式(如全盤加密、單密鑰加密、多密鑰加密)，但在當時的系統(tǒng)中并沒有成為默認的文件系統(tǒng)，只是增加了支持而已。

在macOSSierra中，蘋果公司發(fā)布了名為Apple

macOS10.13發(fā)布于2017年9月，代號為HighSierra。在該版本中，APFS成為默認的文件系統(tǒng)，取代了之前已使用多年的文件系統(tǒng)HFS+。新增的高效視頻編碼(HighEfficiencyVideoCoding，HEVC)支持對數(shù)字視頻相關的取證提出了新的挑戰(zhàn)。

macOS10.13發(fā)布于2017年9月，代號為Hi

macOS10.14發(fā)布于2018年9月，代號為Mojave。這是最后一個可運行32位應用的macOS版本。該版本新增了與iOS系統(tǒng)中的股市、語音備忘錄和家庭App類似的應用程序。Mac和iPhone的互通功能進一步加強，用戶可以用iPhone就近拍張照片或掃描文檔，然后讓它自動出現(xiàn)在Mac上。

macOS10.14發(fā)布于2018年9月，代號為Mo

2019年蘋果發(fā)布macOS10.15，代號Catalina。macOSCatalina用AppleMusic、ApplePodcasts和AppleTV取代了已存在多年的經典iTunes軟件。通過Sidecar分屏功能，用戶的iPad可以作為Mac的一個擴展屏幕使用。另外，macOSCatalina的安全性也進一步提升，其Gatekeeper功能現(xiàn)可以檢查所有應用是否存在已知的安全問題，新的數(shù)據(jù)保護流程需要所有應用在訪問用戶文檔之前獲得許可。

2019年蘋果發(fā)布macOS10.15，代號Cata

2020年蘋果發(fā)布了macOS11.0，其正式名稱為macOSBigSur。該版本的系統(tǒng)界面進行了重新設計，包括內置應用的圖標、原生應用界面的一致性、桌面的程序和菜單欄等方面都有全新的變化；另外，還增加了Safari瀏覽器的翻譯功能等。

2020年蘋果發(fā)布了macOS11.0，其正式名稱為

6.1.3?macOS取證主要信息源

macOS是類UNIX操作系統(tǒng)，所以從取證角度上與Windows有很大的不同，與UNIX/Linux操作系統(tǒng)的取證存在一些相似點，但作為圖形用戶界面的操作系統(tǒng)，其與一般用于服務器中時命令行界面的UNIX/Linux操作系統(tǒng)取證操作又有很多差異。

6.1.3?macOS取證主要信息源

macOS是

從文件系統(tǒng)目錄結構看，macOS一部分目錄是UNIX通用目錄，如/bin(UNIX命令存放目錄)、/sbin(UNIX系統(tǒng)管理類命令存放目錄)、/usr(第三方程序安裝目錄)、/dev(設備文件存放目錄)、/etc(系統(tǒng)配置文件存放目錄)、/tmp(臨時文件存放目錄)、/var(存放經常變化的文件)。其中，/etc、/tmp、/var目錄在取證中是需要重點關注的地方，此3個目錄實際上分別為指向/private/etc、/private/tmp和/private/var的鏈接。

macOS還有一部分目錄是其特有的目錄，從概念上講，包括User域(Domain)、Local域、Network域、System域等。

從文件系統(tǒng)目錄結構看，macOS一部分目錄是UNIX通

User域包含特定用戶的資源，是用戶的主目錄。本地主目錄的位置為“/Users/用戶名/”(注：用戶名不同，位置也不同。若用戶名為bob，則主目錄位置為/Users/bob/，下同)。若為網絡用戶，則主目錄的位置為“/Network/Users/用戶名/”。用戶主目錄存有用戶的個人資料和配置，在取證中是需要重點關注的地方。該目錄下幾個常見的標準目錄是取證時的重要信息資源，如Trash、Applications、Desktop、Documents、Library、Movies、Music、PicturesSites等，如表6-1所示。

User域包含特定用戶的資源，是用戶的主目錄。本地主目電子數(shù)據(jù)取證技術--課件--第6章-macOS操作系統(tǒng)取證技術

macOS中的鑰匙串功能保存著操作系統(tǒng)中的各種密鑰、應用程序密碼、網站密碼、無線網絡密碼、證書文件，往往會存有一些對案件調查有利的信息。鑰匙串界面如圖6-2所示。

macOS中的鑰匙串功能保存著操作系統(tǒng)中的各種密鑰圖6-2鑰匙串界面圖6-2鑰匙串界面

macOS操作系統(tǒng)中提供了很多便利的程序，如郵件客戶端、備忘錄、便箋、提醒事項、信息等，往往在這些應用中會存有一些關鍵信息，對調查取證有很大的幫助。

macOS操作系統(tǒng)中提供了很多便利的程序，如郵件客戶端

6.2?macOS系統(tǒng)取證

6.2.1?macOS支持的文件系統(tǒng)及特點1.?HFS+macOS10.12及之前版本的macOS主要使用HFS+?文件系統(tǒng)，HFS+?是HFS文件系統(tǒng)的更新版本，又名HFSPlus、HFSExtended、MacOSExtended。HFS+?改進了HFS文件系統(tǒng)的結構和對數(shù)據(jù)管理中存在的不足。HFS+?文件系統(tǒng)的主要特點體現(xiàn)在以下幾個方面。

6.2?macOS系統(tǒng)取證

6.2.1?macOS

1)采用32位數(shù)記錄分配塊數(shù)量

HFS和HFS+文件系統(tǒng)對磁盤卷采用分塊進行分配，將一個卷分成等大的分配塊(AllocationBlocks)。

2)目錄樹節(jié)點大小增加到4KB

HFS文件系統(tǒng)的目錄樹節(jié)點大小為512B；由于HFS+?文件系統(tǒng)目錄樹索引節(jié)點需要存儲附加指針和節(jié)點描述符兩個關鍵值，因此HFS+?文件系統(tǒng)的目錄樹節(jié)點大小增加到4KB。

3)單一文件大小得到提升

HFS文件系統(tǒng)的單一文件大小上限為231bit，而HFS+?文件系統(tǒng)的單一文件大小最大可達到263bit。

1)采用32位數(shù)記錄分配塊數(shù)量

HFS和HFS+

4)支持長文件名

HFS文件系統(tǒng)對文件名最長支持到31個字符；而HFS+文件系統(tǒng)對文件名采用Unicode編碼，最長達到255個字符。

4)支持長文件名

HFS文件系統(tǒng)對文件名最長支持

2.?APFS

蘋果公司在2016年的WWDC(WorldwideDevelopersConference，全球開發(fā)者大會)上正式公布了全新的文件系統(tǒng)APFS，macOS10.12版本中加入了實驗性的APFS文件系統(tǒng)支持，在隨后的macOS10.13中，APFS文件系統(tǒng)正式成為系統(tǒng)默認的文件系統(tǒng)。蘋果開發(fā)APFS的目的是修復HFS+中存在的缺陷，該文件系統(tǒng)對閃存/固態(tài)存儲設備進行了優(yōu)化，支持多種加密方法。在相對較小或是很大容量的存儲設備中都可以使用該文件系統(tǒng)，在蘋果公司多個平臺的操作系統(tǒng)，如macOS、iOS、tvOS、watchOS和audioOS中也使用了APFS。

2.?APFS

蘋果公司在2016年的WWDC(

APFS的主要特點包括以下幾個方面：

(1)寫入時復制(Copy-on-Write)元數(shù)據(jù)，在崩潰、斷電等情況下保護數(shù)據(jù)。

(2)文件和目錄克隆不會再重復占用一遍空間，從而使得克隆更快，更節(jié)省存儲空間。對克隆的文件所做的修改會被寫入其他區(qū)域，與原始文件相同的部分在文件系統(tǒng)中是共享的。

(3)快照功能。保存文件系統(tǒng)的只讀實例，使備份和還原操作變得更高效，可以將文件還原到一個指定的時間點。

APFS的主要特點包括以下幾個方面：

(1)寫入

(4)空間共享。多個APFS文件系統(tǒng)的卷可以共用一個APFS容器下的物理磁盤空間，每個卷的可用空間都是當前容器中的可用空間。支持快速調整卷大小而不用重新分區(qū)。

(5)加密支持是APFS設計中重要的一部分，APFS支持全盤加密、文件加密、敏感元數(shù)據(jù)加密。根據(jù)系統(tǒng)和硬件的不同，APFS使用AES-XTS或AES-CBC進行加密。除支持單密鑰加密外，APFS還支持多密鑰加密。在多密鑰加密模型中，每個文件使用不同的密鑰進行加密，敏感元數(shù)據(jù)使用其他密鑰進行加密。多密鑰加密確保了數(shù)據(jù)的安全，即使獲取了設備密鑰，依然無法解密部分文件。

(4)空間共享。多個APFS文件系統(tǒng)的卷可以共用一個

(6)稀疏文件存儲。只有當真正需要存儲空間時才會分配空間，可以節(jié)省磁盤空間，用以存儲更大的文件。

(7)原子級安全存儲基元(AtomicSafe-savePrimitives)。從用戶的角度來看，事務要么完成，要么不完成。

在終端執(zhí)行diskutilapfslist命令，可以查看APFS容器中的卷列表，如圖6-3所示。

(6)稀疏文件存儲。只有當真正需要存儲空間時才會分配圖6-3查看APFS容器中的卷列表圖6-3查看APFS容器中的卷列表

3.其他

除了支持HFS、HFS+、APFS這些macOS獨有的文件系統(tǒng)外，macOS還支持FAT、FAT32、ExFAT的讀寫，支持讀取微軟的NTFS文件系統(tǒng)，但需要安裝第三方驅動程序才能實現(xiàn)寫入操作。所以，在對macOS操作系統(tǒng)進行在線取證的操作中推薦使用ExFAT文件系統(tǒng)的外部磁盤，這樣也可以方便地讀取Windows操作系統(tǒng)機器中的數(shù)據(jù)。

3.其他

除了支持HFS、HFS+、APFS這些

目前，大多取證軟件對APFS的支持還不是很完善，EnCaseForensics在V8.07中新增了對APFS的支持，BlackBagTechnologies公司的Blacklight2018已完全支持對APFS的分析，WinHex/X-WaysForensics目前還只能識別APFS分區(qū)卻不能解析文件，ParagonSoftware公司的APFSforWindows支持在Windows操作系統(tǒng)中掛載包含APFS文件系統(tǒng)的磁盤。

目前，大多取證軟件對APFS的支持還不是很完善，EnC

6.2.2?macOS日志文件、配置文件分析

1.常見系統(tǒng)的基本信息

macOS操作系統(tǒng)的基本信息主要包括產品名稱、當前系統(tǒng)版本、完整計算機名、主機名和最后登錄用戶等，它們分別存放在?/System/Library/CoreServices/SystemVersion.plist、/Library/Preferences?/SystemConfiguration/preferences.plist、/Library/Preferences/com.apple.loginwindow.plist中。

6.2.2?macOS日志文件、配置文件分析

1.

Plist(PropertyList，屬性列表)是一種用來存儲序列化后的對象的文件。屬性列表文件的擴展名為.plist，因此通常被稱為Plist文件。Plist文件中存儲的數(shù)據(jù)是抽象的，其采用的文件格式可以不止一種，有XML格式的文件，也有二進制格式的文件。在macOS中，Plist通常用于存儲配置文件、歷史記錄文件。蘋果公司的開發(fā)工具Xcode中包含一個可以以樹形結構查看與編輯Plist文件的工具。

Plist(PropertyList，屬性列表)是一

/System/Library/CoreServices/SystemVersion.plist中保存了當前系統(tǒng)版本、產品版權等信息，文件內容如圖6-4所示。其中，ProductBuildVersion、ProductVersion均為當前版本信息。圖6-4?SystemVersion.plist文件內容

/System/Library/CoreService

/Library/Preferences/SystemConfiguration/preferences.plist中保存了計算機名、主機名等信息，文件內容如圖6-5所示。其中，ComputerName為完整的計算機名，LocalHostName為主機名。圖6-5?preferences.plist文件內容

/Library/Preferences/System

/Library/Preferences/com.apple.loginwindow.plist中保存了最后登錄的用戶信息，如圖6-6所示。其中，lastUserName為最后登錄的用戶的用戶名。圖6-6?com.apple.loginwindow.plist文件內容

/Library/Preferences/com.ap

/Library/Receipts/InstallHistory.plist中保存了系統(tǒng)和應用的安裝記錄，如圖6-7所示。其中，Item0為macOS操作系統(tǒng)安裝的記錄，Item1向后的記錄則包含了后續(xù)的應用安裝、在取證中常用到的其他一些數(shù)據(jù)保存位置如表6-2所示。

/Library/Receipts/InstallHi圖6-7?InstallHistory.plist文件內容圖6-7?InstallHistory.plist文件內電子數(shù)據(jù)取證技術--課件--第6章-macOS操作系統(tǒng)取證技術

2.日志文件的取證

日志文件是macOS常見的取證信息來源，一般日志文件位于/private/var/log目錄下。其中，有一些日志與Linux或UNIX相同，此處不另行闡述；也有一些特殊日志或特殊格式的日志。

在private/var/log目錄下，常見的日志文件有system.log、system.log.0.gz，通過這些日志文件可以獲得開關機記錄的用戶名和時間，如圖6-8所示。

2.日志文件的取證

日志文件是macOS常見的取圖6-8?private/var/log目錄下的系統(tǒng)日志圖6-8?private/var/log目錄下的系統(tǒng)日志

macOS的部分系統(tǒng)日志文件擴展名為?.asl(AppleSystemLogger)，可使用控制臺程序打開它們，如圖6-9所示。通過網址?/*/documentation/os/logging*/可查看日志文件的具體介紹。

macOS的部分系統(tǒng)日志文件擴展名為?.asl(App圖6-9使用控制臺程序打開?.asl文件圖6-9使用控制臺程序打開?.asl文件

另外，在macOS10.12版本以后，蘋果公司采用了一種新的日志UnifiedLog，蘋果公司對外不公開該文件格式，僅提供讀寫日志的接口。該日志存儲在?/var/db/diagnostics和/var/db/uuidtext兩個目錄下，其中包含大量的信息，如網絡連接、USB使用記錄信息、系統(tǒng)啟動信息、系統(tǒng)備份、郵件同步、iCloud連接設備等。

除了使用專用取證工具對這些信息進行自動分析外，還可以使用/usr/bin/log命令或者蘋果公司提供的應用控制臺工具進行分析。

另外，在macOS10.12版本以后，蘋果公司采用了

6.2.3?macOS網絡信息分析

在macOS中，計算機網絡配置主要查看/Library/Preferences/SystemConfiguration/preferences.plist文件，在private/var/db/dhcpclient/leases/目錄下存儲著通過DHCP獲取的詳細網絡配置信息，