由于macOS安全机制的升级(如芯片加密),传统适用于Windows的一些取证思路难以高效适应现阶段macOS的取证实战需求。通过开机制作逻辑镜像的方式往往也会因为权限问题,导致数据提取不全,如无法获取回收站、部分系统关键目录数据等。
作为平航核心介质取证产品,CS6100针对macOS取证难点,推出了更加符合现阶段实战取证的全新解决方案:“时间机器”备份解析(支持最新15系列系统版本)。并且,针对macOS的应用解析与系统数据解析能力进行了进一步强化提升。
图源网络,仅供参考
01
“时间机器”备份的特性
“时间机器”是苹果公司针对macOS操作系统推出用作数据备份的工具,可以定期将用户的文件、文件夹、应用程序以及系统设置进行备份,可类比于iPhone手机通过iTunes制作备份并导入PF5200中进行解析的思路。
图源网络,仅供参考
相较于过去的macOS取证方案,时间机器备份解析将给实战带来更全面、更简单的macOS取证体验。
01
备份的完整性
作为苹果官方备份方式,除了普通的系统文件备份,时间机器还会备份操作系统的配置文件、应用程序的设置、桌面设置等,确保恢复时不仅能够恢复数据,还能够恢复整个工作环境。
这种多层次的备份机制使得系统的恢复更加完整,特别是对于那些依赖特定配置或环境的应用程序。
但macOS为了减少备份大小,也忽略了部分目录(如/private/var/log)的备份,仍会导致如向日葵远程记录等部分数据备份不到。
图源网络,仅供参考
02
增量备份
时间机器也是一种“增量备份”工具,每次备份后,它会记录系统文件、应用程序以及用户文件的变化,而不是每次都进行全面备份。
通过这种增量备份的机制,时间机器不仅节省了存储空间,还确保了备份文件的更新与完整性,帮助用户轻松恢复到任意时间点的系统状态或特定文件。
图源网络,仅供参考
03
支持外部设备与自动备份
时间机器备份不仅支持本地磁盘,还可以将备份数据存储在外部硬盘、NAS设备,甚至是云存储中。
通过这种方式,大大降低了数据获取难度,且时间机器中默认配置了自动备份功能,它会定期自动备份文件和系统数据,而无需用户干预。这种自动化过程减少了人为操作的风险,确保备份的及时性和一致性。
图源网络,仅供参考
02
“时间机器”备份在取证中的应用
01
完整数据解析
时间机器能够提供完整的数据解析,这得益于它的全方位备份特性。
除了备份普通的用户文件,还可以获取到逻辑镜像因权限问题无法拷贝到的文件如操作系统的配置文件、应用程序设置、桌面设置等系统层面的数据。因此,当取证人员需要解析的不仅仅是单个文件,而是系统的完整状态时,时间机器备份能够提供详尽的信息。
图源网络,仅供参考
02
精准的文件恢复
时间机器的增量备份特性使其在文件恢复方面展现了极高的精度,突破了过往Mac文件恢复困难的问题,且每次备份仅记录自上次备份以来发生变化的部分,这种精确的备份方法确保了每次备份的数据都有详细记录。
因此时间机器不但能够实现文件恢复,还可以精确还原文件的变化轨迹。
图源网络,仅供参考
03
降低Mac取证难度
不论是硬件层面的芯片磁盘加密,还是APFS文件系统的加密,都给Mac取证带来了极大的难度,逻辑镜像方案又受制于Mac系统权限管理无法做到全量拷贝。
而使用时间机器备份操作方便且数据全面,极大降低了macOS的取证难度。
03
CS6100解析“时间机器”备份
针对于获取到的时间机器备份数据的解析分析,平航介质取证分析软件CS6100近期更新大版本功能,目前已全面支持时间机器备份数据的解析。
已适配至最新的15系列版本的macOS系统,可对时间机器进行全盘解析或自由选择时间机器中的备份文件夹单独解析。
支持解析macOS应用数据,如办公应用、AI工具、浏览器应用、数据库应用等,以及开机启动项、钥匙串、WiFi连接等系统数据。
04
适用于macOS的现勘方案即将上线!
除了CS6100提供的时间机器备份解析方案,平航计算机现场快速勘查系列产品也围绕macOS现场勘查取证打造了一套专业的macOS快速勘查取证的解决方案。
在保留Windows计算机现勘能力的情况下,实现在macOS上高效取证,并且还能够直接生成勘验报告。同时也支持一键式的逻辑镜像制作,让计算机现场勘查工作更轻松。
产品即将上线,敬请期待!
CS6100 macOS取证方案已上线
产品试用、技术支持等需求可联系区域销售获取
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...