Apple File System（简称APFS）是苹果公司于2016年发布的新文件格式，以替代现有的HFS+格式。2017年的macOS High Sierra开发者预览版本中首先启用APFS文件系统，并计划未来在苹果的全线产品上部署。

APFS的作用

1、优化闪存/SSD存储，在确保可靠性的基础上优化性能，让文件处理速度变快 

2、加密功能。新的加密功能将为苹果旗下的每款设备提供统一的加密方法。该系统包含有多密钥加密功能，内置有针对每个文件的密钥，其针对敏感元数据也都有独立的密钥。此外，APFS是一个64位文件系统，单个分区支持9百亿亿文件。 

在此之前，苹果的所有设备几乎都是基于HFS文件系统，但实际上由于设备的特性不同，因此采用的文件系统有多种，如macOS上的HFS、HFS+和HFS+J，而iPhone、Apple Watch的HFS+和HFS+ Per-File Crypto。此外，存储管理又有Fusion Drive和CoreStorage等等，相当繁杂混乱。 

所以，苹果公司为改变现状，设计出了功能更先进、更齐全的APFS，成为苹果设备中统一的文件系统。

APFS的特色与改进

APFS 不完全是 HFS+ 的升级版，相对现在而言，它是一个量子级的飞跃。

克隆和数据完整性：APFS 使用称为写时复制（copy-on-write）的方案通过操作元数据并分配磁盘空间来创建克隆。在其它系统下，如果你卸载卷导致覆写操作挂起的话，你可能会发现你的文件系统有一部分与其它部分不同步，写时复制通过将改动写入到可用的磁盘空间而不是覆盖旧文件来避免这个问题。

系统快照：快照是文件系统在某个时间点的一个只读的可装载映像。

输入/输出的服务质量QoS：QoS 优先分配带宽使用以避免降低优先任务的速度，而苹果的 QoS 会优先考虑用户操作

本地加密：三种卷加密模型——不加密、单密钥加密、多密钥加密（即每个文件使用单独的密钥加密，元数据再使用另一个密钥加密）。

固态硬盘和闪存优化：苹果选择将一些典型的固态硬盘芯片的处理功能迁移到操作系统。

数据完整性：为确保数据完整性，APFS 对元数据采用校验和技术；

崩溃防护：使用“全新元数据记录、指向新记录、释放旧记录”的逻辑，而非覆盖现有记录，从而避免更新期间崩溃导致的记录损坏。

动态分区调整：

APFS 驱动器的逻辑分区可以动态调整自身大小。

对照磁盘工具，我们可以看到物理磁盘之下，首先是一个「APFS容器」，其下才是APFS逻辑卷，这些「卷」是放在「APFS容器里面的」。

APFS格式的磁盘就是单个容器，多个分区共享容器的空余容量。

过去，如果系统盘被占满就必须重新分区，但现在完全不用操心这个问题了。APFS文件系统中磁盘分区的存储大小、位置都能在「容器」内随意控制。

APFS的分析方法

目前针对APFS的分析资料并不多，对于APFS文件系统的分析，最简便的方法就是苹果系统直接挂载分析（配合只读工具），这样无需任何取证分析工具即可直接查看macOS系统中的各类文件。

美国Blackbag公司上一个版本2017R1已经支持了对APFS系统的取证分析，Macquisition产品的最新版本 2018R1不仅可以对APFS分区进行镜像，而且支持对APFS分区文件系统的设备进行动态取证，可直接识别文件系统中的所有文件并对内存等易逝数据进行获取。

另外，APFS系统的加密使用很多全新算法，最新版本的Macquisition2018 R1版本支持了对APFS系统下FileVault2加密磁盘镜像的解密挂载，也为苹果取证提供了更多的可能性。