根据取证专家取证工具的不同，制作一个苹果设备的法证镜像既可以像外科手术一样繁琐复杂，也可以像喝水吃饭一样简单。在制作一个苹果系统全盘镜像之前，我们需要注意以下问题。

1.苹果设备的型号：首先确认序列号/型号，确认当前取证的设备是否采用了T2加密芯片技术。是否使用了安全启动模式来阻断通过外部设备启动的可能性

2.当前取证的苹果设备运行了什么文件系统（HFS+ vs APFS）

3.当前取证的苹果设备上是否采用了FileVault2加密，是否已经获得了密码或恢复密钥

4.针对当前苹果设备需要逻辑镜像获取还是物理镜像获取

5.当前苹果设备是否采用了固件密码

6.当前苹果设备是否采用了混合式硬盘

7.是否需要获取内存镜像

对苹果设备进行取证，掌握上述问题是必要的。Macquisition，Blackbag公司自主研发的苹果设备镜像工具，可以帮助取证人员快速解答以上的大部分问题。同时，Macquisition支持对苹果设备是否采用T2加密芯片，运行的何种文件系统，是否存在FileVault2加密以及固件加密是否开启等。

在线取证 V.S. 离线取证

随着计算机的不断发展，简单粗暴的关机镜像已经无法满足取证要求，尤其在面对苹果设备的案例中，内存的获取更加必要。随着越来越多的用户开启了FileVault2全盘加密，在遇到苹果设备取证时，取证人员需要在开机的情况下尽可能多的获取逻辑数据，因为部分易逝数据在关机后会全部消失。在一台开机登录的苹果设备中运行Macquisition后会立刻识别出当前设备是否存在FileVault2加密。一经识别后，如果未知FileVault2的密码或密钥，取证人员应该立刻执行开机登录状态下的在线取证，尽可能获取逻辑数据。

在线取证：如何通过Macquisition来获取逻辑数据

当Macquisition的加密狗插入到正在运行的目标设备中，计算机桌面会弹出多个分区卷（弹出卷的数量取决于当前MacOS系统版本）。在线取证中我们需要使用到其中两个卷。“Application”卷中包含了Macquisition软件的快捷方式，用于在线取证中启动程序。“MQData”卷使用了Macquisition加密狗中自带的存储空间，用于存储在线取证过程中保存获取的数据。取证人员也可以将数据存储在其他的外部存储设备中。

取证人员打开“Application”卷，点击Macquisition的快捷方式即可开始在线取证。取证开始时需要取证人员输入管理员账户的密码。如果管理员账户密码未知，可以按照以下图片中的示意选择运行受限制的权限。

接下来如果目标计算机存在FileVault2加密，会弹出以下提示框

点击“Continue”后，软件会进入到主界面中，取证人员可以输入对应的案件信息，更改时区用于日志记录或报告等。

输入完成案件信息后，可以选择进入“Data Collection”逻辑数据获取（包含了指定文件，文件夹等数据导出或生成逻辑镜像导出），或进入“Image device”。以下截图显示的为“Data Collection”逻辑数据获取界面

Macquisition软件预设了多个初始提取选项，取证人员可以通过简单的勾选和反选来选择提取内容。同时，通过界面的左下角的“Select Files”选择文件选项，允许操作人员对目标计算机中的指定文件进行选取并导出。

点击界面上方的“Image Device”选项后可以得到以下图示界面

在此界面中，所有的物理磁盘都会显示出来，Macquisition会显示出是否存在APFS容器，以及是否存在任意的加密磁盘或卷（不管加密卷是否解密）。选择需要镜像的磁盘，然后选择镜像的格式、镜像切分的片段大小，可以从以下列表内容中选择：

注意：如果目标计算机采用了T2加密芯片系统，将只能生成AFF4格式镜像。

点击加号选取镜像导出的路径。

获取苹果设备的内存镜像，则需要首先获取到root权限。如果苹果设备采用了“guest”权限登录，则需使用“离线提取”模式进行获取。

离线获取

对于取证人员来说，苹果设备取证全盘物理镜像获取一定是最优先选择，同时全盘物理镜像也是能够提供证据量最多的一个方式，也包含了APFS快照。取证人员可以通过两种方式进行全盘物理镜像获取：第一个方式是使用开机启动管理，通过开机时长按Option/Alt按键，然后选择对应当前计算机系统的相关启动程序进行外部设备启动，第二个方式是使用苹果系统的“Target Disk”（TDM）模式，尤其针对使用了T2加密芯片的苹果设备，可允许取证人员通过TDM模式在不改变安全启动设置的前提下进行全盘物理镜像，进入TDM模式的目标设备通过写保护的设备或软件与取证设备相连，取证设备上运行Macquisition软件，并按照前文描述的在线取证流程进行取证。

以上两种取证手段中，如果存在固件加密的情况，软件中会出现一个锁扣的标识。如果目标计算机被固件密码保护，苹果公司需要采取法定程序来解除加密。通常在企业中，如果苹果设备所有权在企业IT部门手中，IT部门会备份苹果设备的Recovery key（恢复密钥）。

获取固件加密，FileVault2加密或Recovery Key（恢复密钥）是取证的必要操作，下面表格中列出了需要获取以上密钥的必要情况。

FileVault2密钥/Recovery Key参考表：

数据导出

当取证人员已经确认了针对目标苹果设备的取证手段（启动管理或TDM），并确认了获取逻辑或物理镜像，下一步就是需要确认证据导出的位置。

导出路径建议与目标计算机的文件系统保持一致，如果导出路径与目标计算机文件系统不一致，或取证人员使用了Windows操作系统的取证设备来对苹果设备进行取证，可以采取以下几种方法来实现数据导出。针对物理镜像，Blackbag公司与Paragon公司共同合作研发了可以将苹果文件系统写入到NTFS系统的工具，尽管Macquisition支持将数据导出到ExFat分区卷中，但是由于ExFat格式的限制，这种方式并不建议取证人员使用，弹出外部驱动器不当容易出现文件系统崩溃或镜像损坏的情况。

总结

Blackbag一直致力于为用户提供苹果取证的最优解决方案，并保持快速有效的技术更新。通过使用Macquisition，可以使现场勘察人员尽可能高效全面地获取关联证据，甚至可以得到整个物理镜像，以保证用户能够得到更多的关键数据，从而使现场勘察人员、取证人员更快速有效的获取到关键线索和证据，为取证人员节省更多的时间并创造更好的破案条件。