1、第6章 macOS操作系统取证技术第6章 macOS操作系统取证技术6.1 macOS操作系统操作系统6.2 macOS系统取证系统取证第6章 macOS操作系统取证技术6.1 macOS操作系统操作系统6.1.1 macOS操作系统的特点操作系统的特点macOS是苹果公司针对苹果计算机系列产品推出的计算机操作系统,2012年7月发布10.8版本后由Mac OS X更名为OS X,2016年9月发布10.12版本后又更名为macOS,目前(截至2021年1月)的最新版本为2020年11月13日发布的macOS Big Sur(版本号11.0)。第6章 macOS操作系统取证技术与苹果公司其他知
2、名的产品iPhone、iPad搭载的操作系统iOS类似,macOS也是结合苹果计算机产品的硬件深度而定制的。在2005年之前,苹果计算机使用的大多还是PowerPC架构的微处理器,与常见的x86架构的个人计算机产品互不兼容,直到2006年,苹果公司推出了他们的第一款搭载Intel x86微处理器的MacBook,在同步发行的Boot Camp的帮助下,苹果计算机也支持Windows操作系统的安装。第6章 macOS操作系统取证技术Mac OS X体系结构包括Darwin、核心框架、应用框架层、用户体验层等几部分,整个层次结构如图6-1所示。这些层次中,Darwin层是整个系统的基础,它是开源的
3、,提供了底层的API;而其上的3层都是闭源的,属于苹果公司的私有产品。第6章 macOS操作系统取证技术图6-1 Mac OS X层次结构第6章 macOS操作系统取证技术Darwin是一个开放源代码、符合POSIX标准的类UNIX操作系统,操作系统的内核为XNU(X is Not UNIX),最早是由NeXT公司为了NeXTSTEP操作系统开发的。XNU是一种混合式的核心,包含Mach微内核、BSD和Driver Kit的驱动程序接口。苹果公司收购NeXT公司后,XNU的Mach内核部分被替换为开放软件基金会(Open Software Foundation)创建的社区版的Mach内核OSF
4、MK,BSD部分被替换为FreeBSD,Driver Kit改名为I/O Kit,开发语言也由Objective C变为C+。XNU内核源代码基于苹果开源许可(Apple Public Source License)发布,可在苹果公司的网站获取(https:/ macOS操作系统取证技术核心框架有时也被称为图形和多媒体层,该层包括OpenGL、Quartz、QuickTime、应用程序服务等。应用框架层包括Classic、Cocoa、Carbon和java等。用户体验层用来提供用户界面,包括aqua、Quicklook、spotlight等组件。第6章 macOS操作系统取证技术6.1.2 不
5、同版本不同版本macOS的差异的差异2001年推出的Mac OS X 10.0是macOS系列操作系统版本之间的一个明显分界点,在这之前苹果计算机搭载的还是现在已经被称为Classic Mac OS的System Software 7、Mac OS 8、Mac OS 9等操作系统。Classic Mac OS的最后一个版本是Mac OS 9.2.2,在这之后的Mac OS X则是由名为Darwin的操作系统部分和名为aqua的图形界面部分结合而成的。第6章 macOS操作系统取证技术早期的Mac OS X 10.010.3中仍然保留了对经典环境的兼容性,通过一个模拟环境,用户可以将Mac OS
6、 9作为一个程序来运行,在其中可以执行Mac OS 9设计的程序。OS X 10.9往后的版本均在应用商店中免费为苹果计算机用户提供,所以市面上主流的苹果计算机中运行的操作系统基本都是最近发布的一两个版本。第6章 macOS操作系统取证技术Mac OS X 10.0发布于2001年3月,内部代号为Cheetah。相对于之前的Mac OS,Mac OS X是完全重写的操作系统,功能并不十分齐全。Mac OS X 10.1发布于2001年9月,内部代号为Puma。在上一代发布之后不久就推出了该版本,增加了对DVD播放的支持功能。Mac OS X 10.2发布于2002年8月,代号为Jaguar。苹
7、果公司第一次公开使用猫科动物的名称作为操作系统的代号,一直延续到了Mac OS X 10.8。该版本中首次加入了日志式文件系统,还加入了用于发现网络上的设备和服务的Bonjour协议,如打印机或其他计算器;新增了即时通信客户端iChat。第6章 macOS操作系统取证技术Mac OS X 10.3发布于2003年10月,代号为Panther。该版本加入了对用户目录进行加密的功能FileVault,推出了新的Web浏览器Safari代替之前和微软合作使用的Internet Explorer for Mac。系统中的卷默认使用被称为HFSJ的日志式文件系统。Mac OS X 10.4发布于2005
8、年4月,代号为Tiger。该版本中加入了基于索引的搜索工具Spotlight。除了标准的UNIX文件系统权限控制外,在HFS+的文件系统中还加入了基于访问控制列表的权限管理机制。第6章 macOS操作系统取证技术Mac OS X 10.5发布于2007年10月,代号为Leopard。自动备份工具Time Machine就是随着这个版本发布的。该版本增加了在Finder中直接按空格键快速预览文件的特性。同时推出的还有Boot Camp软件,可以用于在搭载Intel处理器的苹果计算机上安装微软的Windows操作系统。Mac OS X 10.6发布于2009年6月,代号为Snow Leopard。
9、从该版本起,苹果公司完全放弃了PowerPC架构处理器的支持,仅支持安装在使用了Intel处理器的苹果计算机上。该版本主要做了性能的改进,大部分系统应用程序进行了重新编译以支持64位架构。第6章 macOS操作系统取证技术Mac OS X 10.7发布于2011年7月,代号为Lion。这是第一个通过应用商店Mac App Store发行的Mac OS操作系统,系统中新增了Mac间文件共享的工具AirDrop,只要简单的拖动操作就可以在设备间传输文件。随系统发行的还有FaceTime,可以用于Mac、iPhone、iPad之间的视频通话。新版本的加密工具FileVault 2提供了全盘加密功能,
10、添加了对外部硬盘的支持和用于修复系统的恢复分区功能。在Mac OS X 10.7.2的更新中推出了iCloud功能,支持邮件、日历和联系人的同步。第6章 macOS操作系统取证技术OS X 10.8发布于2012年7月,代号为Mountain Lion。苹果公司将Mac OS X重命名为OS X,去掉了开头的Mac。该版本中iChat应用被Messages替换,新增了对iMessage的支持功能,可以与运行iOS的设备互通消息,用户iPhone、iPad上的iMessage消息也会同步到Mac OS上。系统中新增的备忘录、提醒事项、通知中心、游戏中心等也多是源于iOS中的功能。第6章 macO
11、S操作系统取证技术OS X 10.9发布于2013年10月,代号为Mavericks。从该版本起,苹果公司不再按惯例使用猫科动物的名称作为系统代号,而是使用了景点的名字;用户不再需要付费升级系统,在Mac App Store中即可免费获取。与上一个版本类似,该版本中加入了同样先在iOS操作系统中搭载的iBooks电子书程序和地图程序,在Finder中加入了文件标签功能和标签页浏览模式。该版本中iCloud的功能得到了增强,可以在设备间同步钥匙串中存储的密钥。第6章 macOS操作系统取证技术OS X 10.10发布于2014年10月,代号为Yosemite。随之推出的iCloud Drive云
12、存储兼容OS X、iOS和Windows三大操作系统平台,支持存储应用数据、音乐、照片、视频等各类数据,用户可以方便地跨平台存取自己的文件。新增的Continuity功能可以将iOS的内容同步至OS X,如使用Mac收发iPhone的短信、通过Mac拨打和接听电话。此外,AirDrop也支持iOS和OS X之间的文件传输。第6章 macOS操作系统取证技术OS X 10.11发布于2015年9月,代号为El Capitan。这是一次小的系统更新,主要增强了OS X的设计和可用性,同时包括性能改进和安全更新。新增的系统完整性保护(System Integrity Protection)禁止软件以
13、root身份在OS X上运行,并且目录/System、/sbin、/usr仅供系统使用,系统会阻止用户在这些目录中的操作。第6章 macOS操作系统取证技术macOS 10.12发布于2016年9月,代号为Sierra。苹果公司将OS X重命名为macOS以匹配公司的其他操作系统(如iOS、watchOS、tvOS)的命名体系。苹果公司对之前版本的Continuity功能进行了扩展,当用户佩戴配对的Apple Watch靠近计算机时,计算机系统会自动解锁,同一Apple ID附件的macOS和iOS设备的剪贴板可以互通,用户可以很方便地在不同设备间进行复制、剪切和粘贴操作。iCloud Dri
14、ve新增了可以自动同步文稿和桌面上的文件的选项。Siri语音助手也被添加进该版本中。第6章 macOS操作系统取证技术在macOS Sierra中,苹果公司发布了名为Apple File System(APFS)的新文件系统,该文件系统面向固态存储介质设计,原生支持多种加密方式(如全盘加密、单密钥加密、多密钥加密),但在当时的系统中并没有成为默认的文件系统,只是增加了支持而已。第6章 macOS操作系统取证技术macOS 10.13发布于2017年9月,代号为High Sierra。在该版本中,APFS成为默认的文件系统,取代了之前已使用多年的文件系统HFS+。新增的高效视频编码(High E
15、fficiency Video Coding,HEVC)支持对数字视频相关的取证提出了新的挑战。第6章 macOS操作系统取证技术macOS 10.14发布于2018年9月,代号为Mojave。这是最后一个可运行32位应用的macOS版本。该版本新增了与iOS系统中的股市、语音备忘录和家庭App类似的应用程序。Mac和iPhone的互通功能进一步加强,用户可以用iPhone就近拍张照片或扫描文档,然后让它自动出现在Mac上。第6章 macOS操作系统取证技术2019年苹果发布macOS 10.15,代号Catalina。macOS Catalina用Apple Music、Apple Podc
16、asts和Apple TV 取代了已存在多年的经典 iTunes 软件。通过Sidecar 分屏功能,用户的 iPad 可以作为 Mac 的一个扩展屏幕使用。另外,macOS Catalina的安全性也进一步提升,其Gatekeeper 功能现可以检查所有应用是否存在已知的安全问题,新的数据保护流程需要所有应用在访问用户文档之前获得许可。第6章 macOS操作系统取证技术2020年苹果发布了macOS 11.0,其正式名称为macOS Big Sur。该版本的系统界面进行了重新设计,包括内置应用的图标、原生应用界面的一致性、桌面的程序和菜单栏等方面都有全新的变化;另外,还增加了 Safari
17、浏览器的翻译功能等。第6章 macOS操作系统取证技术6.1.3 macOS取证主要信息源取证主要信息源macOS是类UNIX操作系统,所以从取证角度上与Windows有很大的不同,与UNIX/Linux操作系统的取证存在一些相似点,但作为图形用户界面的操作系统,其与一般用于服务器中时命令行界面的UNIX/Linux操作系统取证操作又有很多差异。第6章 macOS操作系统取证技术从文件系统目录结构看,macOS一部分目录是UNIX通用目录,如/bin(UNIX命令存放目录)、/sbin(UNIX系统管理类命令存放目录)、/usr(第三方程序安装目录)、/dev(设备文件存放目录)、/etc(系
18、统配置文件存放目录)、/tmp(临时文件存放目录)、/var(存放经常变化的文件)。其中,/etc、/tmp、/var目录在取证中是需要重点关注的地方,此3个目录实际上分别为指向/private/etc、/private/tmp和/private/var的链接。macOS还有一部分目录是其特有的目录,从概念上讲,包括User域(Domain)、Local域、Network域、System域等。第6章 macOS操作系统取证技术User域包含特定用户的资源,是用户的主目录。本地主目录的位置为“/Users/用户名/”(注:用户名不同,位置也不同。若用户名为bob,则主目录位置为/Users/bo
19、b/,下同)。若为网络用户,则主目录的位置为“/Network/Users/用户名/”。用户主目录存有用户的个人资料和配置,在取证中是需要重点关注的地方。该目录下几个常见的标准目录是取证时的重要信息资源,如Trash、Applications、Desktop、Documents、Library、Movies、Music、PicturesSites等,如表6-1所示。第6章 macOS操作系统取证技术第6章 macOS操作系统取证技术macOS中的钥匙串功能保存着操作系统中的各种密钥、应用程序密码、网站密码、无线网络密码、证书文件,往往会存有一些对案件调查有利的信息。钥匙串界面如图6-2所示。第
20、6章 macOS操作系统取证技术图6-2 钥匙串界面第6章 macOS操作系统取证技术macOS操作系统中提供了很多便利的程序,如邮件客户端、备忘录、便笺、提醒事项、信息等,往往在这些应用中会存有一些关键信息,对调查取证有很大的帮助。第6章 macOS操作系统取证技术6.2 macOS系统取证系统取证6.2.1 macOS支持的文件系统及特点支持的文件系统及特点1.HFS+macOS 10.12及之前版本的macOS主要使用HFS+文件系统,HFS+是HFS文件系统的更新版本,又名HFS Plus、HFS Extended、Mac OS Extended。HFS+改进了HFS文件系统的结构和对
21、数据管理中存在的不足。HFS+文件系统的主要特点体现在以下几个方面。第6章 macOS操作系统取证技术1)采用32位数记录分配块数量HFS和HFS+文件系统对磁盘卷采用分块进行分配,将一个卷分成等大的分配块(Allocation Blocks)。2)目录树节点大小增加到4 KBHFS文件系统的目录树节点大小为512 B;由于HFS+文件系统目录树索引节点需要存储附加指针和节点描述符两个关键值,因此HFS+文件系统的目录树节点大小增加到4 KB。3)单一文件大小得到提升HFS文件系统的单一文件大小上限为231 bit,而HFS+文件系统的单一文件大小最大可达到263 bit。第6章 macOS操
22、作系统取证技术4)支持长文件名HFS文件系统对文件名最长支持到31个字符;而HFS+文件系统对文件名采用Unicode编码,最长达到255个字符。第6章 macOS操作系统取证技术2.APFS苹果公司在2016年的WWDC(Worldwide Developers Conference,全球开发者大会)上正式公布了全新的文件系统APFS,macOS 10.12版本中加入了实验性的APFS文件系统支持,在随后的macOS 10.13中,APFS文件系统正式成为系统默认的文件系统。苹果开发APFS的目的是修复HFS+中存在的缺陷,该文件系统对闪存/固态存储设备进行了优化,支持多种加密方法。在相对较
23、小或是很大容量的存储设备中都可以使用该文件系统,在苹果公司多个平台的操作系统,如macOS、iOS、tvOS、watchOS和audioOS中也使用了APFS。第6章 macOS操作系统取证技术APFS的主要特点包括以下几个方面:(1)写入时复制(Copy-on-Write)元数据,在崩溃、断电等情况下保护数据。(2)文件和目录克隆不会再重复占用一遍空间,从而使得克隆更快,更节省存储空间。对克隆的文件所做的修改会被写入其他区域,与原始文件相同的部分在文件系统中是共享的。(3)快照功能。保存文件系统的只读实例,使备份和还原操作变得更高效,可以将文件还原到一个指定的时间点。第6章 macOS操作系
24、统取证技术(4)空间共享。多个APFS文件系统的卷可以共用一个APFS容器下的物理磁盘空间,每个卷的可用空间都是当前容器中的可用空间。支持快速调整卷大小而不用重新分区。(5)加密支持是APFS设计中重要的一部分,APFS支持全盘加密、文件加密、敏感元数据加密。根据系统和硬件的不同,APFS使用AES-XTS或AES-CBC进行加密。除支持单密钥加密外,APFS还支持多密钥加密。在多密钥加密模型中,每个文件使用不同的密钥进行加密,敏感元数据使用其他密钥进行加密。多密钥加密确保了数据的安全,即使获取了设备密钥,依然无法解密部分文件。第6章 macOS操作系统取证技术(6)稀疏文件存储。只有当真正需
25、要存储空间时才会分配空间,可以节省磁盘空间,用以存储更大的文件。(7)原子级安全存储基元(Atomic Safe-save Primitives)。从用户的角度来看,事务要么完成,要么不完成。在终端执行diskutil apfs list命令,可以查看APFS容器中的卷列表,如图6-3所示。第6章 macOS操作系统取证技术图6-3 查看APFS容器中的卷列表第6章 macOS操作系统取证技术3.其他其他除了支持HFS、HFS+、APFS这些macOS独有的文件系统外,macOS还支持FAT、FAT32、ExFAT的读写,支持读取微软的NTFS文件系统,但需要安装第三方驱动程序才能实现写入操作
26、。所以,在对macOS操作系统进行在线取证的操作中推荐使用ExFAT文件系统的外部磁盘,这样也可以方便地读取Windows操作系统机器中的数据。第6章 macOS操作系统取证技术目前,大多取证软件对APFS的支持还不是很完善,EnCase Forensics在V8.07中新增了对APFS的支持,BlackBag Technologies公司的Blacklight 2018已完全支持对APFS的分析,WinHex/X-Ways Forensics目前还只能识别APFS分区却不能解析文件,Paragon Software公司的APFS for Windows支持在Windows操作系统中挂载包含A
27、PFS文件系统的磁盘。第6章 macOS操作系统取证技术6.2.2 macOS日志文件、配置文件分析日志文件、配置文件分析1.常见系统的基本信息常见系统的基本信息macOS操作系统的基本信息主要包括产品名称、当前系统版本、完整计算机名、主机名和最后登录用户等,它们分别存放在/System/Library/CoreServices/SystemVersion.plist、/Library/Preferences/SystemConfiguration/preferences.plist、/Library/Preferences/com.apple.loginwindow.plist中。第6章 m
28、acOS操作系统取证技术Plist(Property List,属性列表)是一种用来存储序列化后的对象的文件。属性列表文件的扩展名为.plist,因此通常被称为Plist文件。Plist文件中存储的数据是抽象的,其采用的文件格式可以不止一种,有XML格式的文件,也有二进制格式的文件。在macOS中,Plist通常用于存储配置文件、历史记录文件。苹果公司的开发工具Xcode中包含一个可以以树形结构查看与编辑Plist文件的工具。第6章 macOS操作系统取证技术/System/Library/CoreServices/SystemVersion.plist中保存了当前系统版本、产品版权等信息,文
29、件内容如图6-4所示。其中,ProductBuildVersion、ProductVersion均为当前版本信息。图6-4 SystemVersion.plist文件内容第6章 macOS操作系统取证技术/Library/Preferences/SystemConfiguration/preferences.plist中保存了计算机名、主机名等信息,文件内容如图6-5所示。其中,ComputerName为完整的计算机名,LocalHostName为主机名。图6-5 preferences.plist文件内容第6章 macOS操作系统取证技术/Library/Preferences/com.ap
30、ple.loginwindow.plist中保存了最后登录的用户信息,如图6-6所示。其中,lastUserName为最后登录的用户的用户名。图6-6 com.apple.loginwindow.plist文件内容第6章 macOS操作系统取证技术/Library/Receipts/InstallHistory.plist中保存了系统和应用的安装记录,如图6-7所示。其中,Item 0为macOS操作系统安装的记录,Item 1向后的记录则包含了后续的应用安装、在取证中常用到的其他一些数据保存位置如表6-2所示。第6章 macOS操作系统取证技术图6-7 InstallHistory.plis
31、t文件内容第6章 macOS操作系统取证技术第6章 macOS操作系统取证技术2.日志文件的取证日志文件的取证日志文件是macOS常见的取证信息来源,一般日志文件位于/private/var/log目录下。其中,有一些日志与Linux或UNIX相同,此处不另行阐述;也有一些特殊日志或特殊格式的日志。在private/var/log目录下,常见的日志文件有system.log、system.log.0.gz,通过这些日志文件可以获得开关机记录的用户名和时间,如图6-8所示。第6章 macOS操作系统取证技术图6-8 private/var/log目录下的系统日志第6章 macOS操作系统取证技术
32、macOS的部分系统日志文件扩展名为.asl(Apple System Logger),可使用控制台程序打开它们,如图6-9所示。通过网址/*https:/ macOS操作系统取证技术图6-9 使用控制台程序打开.asl文件第6章 macOS操作系统取证技术另外,在macOS 10.12版本以后,苹果公司采用了一种新的日志Unified Log,苹果公司对外不公开该文件格式,仅提供读写日志的接口。该日志存储在/var/db/diagnostics和/var/db/uuidtext两个目录下,其中包含大量的信息,如网络连接、USB使用记录信息、系统启动信息、系统备份、邮件同步、iCloud连接设
33、备等。除了使用专用取证工具对这些信息进行自动分析外,还可以使用/usr/bin/log命令或者苹果公司提供的应用控制台工具进行分析。第6章 macOS操作系统取证技术6.2.3 macOS网络信息分析网络信息分析在macOS中,计算机网络配置主要查看/Library/Preferences/SystemConfiguration/preferences.plist文件,在private/var/db/dhcpclient/leases/目录下存储着通过DHCP获取的详细网络配置信息,如图6-10所示。有关网络连接或网络行为的信息可以通过对相关应用的日志进行分析。第6章 macOS操作系统取证技
34、术图6-10 DHCP网络配置信息第6章 macOS操作系统取证技术6.2.4 macOS浏览器信息分析浏览器信息分析Safari是macOS中常用的浏览器,老版本的Safari浏览记录以Plist格式的文件保存在“/Users/用户名/Library/Safari”目录中,文件名为History.plist。History.plist中的WebHistoryDomains.v2为访问的网址的主域名,WebHistoryDates中包含访问的网址、title(页面标题)、visitCount(访问次数)、lastVisitedDate(最后访问时间)等。新版本的Safari浏览记录以SQLit
35、e格式的数据库文件保存在“/Users/用户名/Library/Safari”目录中,文件名为History.db。第6章 macOS操作系统取证技术SQLite是遵守ACID(Atomicity Consistency Isolation Durability,原子性、一致性、隔离性、耐久性)的关系型数据库管理系统,它是由D.Richard Hipp使用C语言编写的开放源代码的嵌入式数据库引擎。与许多其他数据库管理系统不同,SQLite不是一个客户端/服务器结构的数据库引擎,它被集成在用户程序中,支持大部分主流操作系统,在iOS和Android这类移动平台操作系统中使用非常广泛。有很多免费的
36、第三方工具可以用来查看和编辑SQLite数据库文件,如DB Browser for SQLite(http:/sqlitebrow ser.org)。第6章 macOS操作系统取证技术History.db中的history_items、history_visits表中的数据为浏览器的历史记录,如图6-11和图6-12所示。其中,history_items表中的url为页面链接,domain_expansion为链接的部分域名,visit_count为该链接的总访问次数;history_visits表中的visit_time为访问时间,title为页面标题,history_item的值为对应hi
37、story_items表中的id值。第6章 macOS操作系统取证技术图6-11 history_items表中的内容第6章 macOS操作系统取证技术图6-12 history_visits表中的内容第6章 macOS操作系统取证技术在菜单栏中选择“历史记录”“显示所有历史记录”命令,显示的历史记录如图6-13所示。第6章 macOS操作系统取证技术图6-13 历史记录第6章 macOS操作系统取证技术Safari的书签以Plist格式的文件保存在“/Users/用户名/Library/Safari”目录中,文件名为Bookmarks.plist。书签数据保存在Item项中,URLStrin
38、g为页面链接,title为页面标题,previewText为备注信息,Title为书签中的文件夹标题。Bookmarks.plist文件内容如图6-14所示。第6章 macOS操作系统取证技术图6-14 Bookmarks.plist文件内容第6章 macOS操作系统取证技术Safari的文件下载记录也以Plist格式的文件保存在“/Users/用户名/Library/Safari”目录中,文件名为Downloads.plist。其中,DownloadEntryURL为文件下载链接,DownloadEntryPath为文件保存路径。Downloads.plist文件内容如图6-15所示。第6章
39、 macOS操作系统取证技术图6-15 Downloads.plist文件内容第6章 macOS操作系统取证技术6.2.5 macOS邮件客户端信息分析邮件客户端信息分析邮件客户端的数据保存在“/User/用户名/Mail/V4”目录中。注意,老版本的文件格式可能不同。“/User/用户名/Mail/V4”中的“*.mbox”文件保存了所有邮件,扩展名为.emlx表示完整的邮件;扩展名为.partial.emlx表示只收取了邮件头,没有收取到正文、附件。“*.mbox”文件内容如图6-16表示。第6章 macOS操作系统取证技术图6-16 “*.mbox”文件内容第6章 macOS操作系统取证
40、技术6.2.6 其他信息源分析其他信息源分析除前述信息外,macOS中还存在很多可能有价值的信息。例如,系统中还有其他缓存文件夹和临时文件,其中有一些会随着关机操作而被清空,还有一些缓存信息会越来越多。通过对这些文件夹或者文件进行分析,有利于分析用户的行为,发现相关的证据。/private/var/tmp目录下存放的是临时文件,/private/var/folders目录下存放的是文件预览时使用的缓存目录,/Library/Caches目录下存放的是各种应用的缓存数据目录,/private/var/vm/sleepimage目录下存放的是休眠文件。第6章 macOS操作系统取证技术另外,如果用
41、户有Time Machine,则其对文件做的版本管理的备份数据也可能很有价值。如果有地图数据,则一般被保存在“Users/用户名Library/Containers/com.apple.Maps/Data/Library/Maps”目录下的GeoHistory.mapsdata和GeoBookmarks.plist这两个Plist格式的文件中,前者为搜索记录,后者为收藏记录。目前,针对macOS的取证工具有Sumuri公司的Recon、Recon Imager,BlackBag Technologies公司的BlackLight、MacQuisition。这些软件都可以做到一键分析,能获取系统中的常见数据。
