+86 400-6625-126
苹果APFS系统取证详解
Apple File System(简称APFS)是苹果公司于2016年发布的新文件格式,以替代现有的HFS+格式。该系统的核心为加密功能,其将为苹果旗下的每款设备提供统一的加密方法。
由于新设备将默认使用APFS文件系统,以及MacOS今后的升级,使用APFS文件系统设备数量将日益增多,有效获取其逻辑数据及镜像已经成为苹果设备取证的重要前提。
近日,美国Blackbag公司连续发布了Blacklight产品、Macquisition产品的更新版本。至此,Blackbag公司提供了全球首个苹果APFS系统一站式数据获取、数据解密、数据分析的解决方案。http://mall.hdw.top/search/searchAd?keywords=blackbag
以下介绍Blackbag如何完成对APFS系统的提取-解密-分析。
获取APFS系统镜像及文件
当遇到APFS文件系统的苹果硬件时,需要首先了解系统的APFS容器,其中可能包含一个或多个卷。由于APFS文件系统的卷与以往的MacOS卷不同,无法独立进行镜像。当尝试镜像APFS容器或父级的物理磁盘时,镜像会包含当前卷的状态(包含加密状态)。
Macquisition 2018R1支持对未加密状态下磁盘卷中的逻辑文件获取,同时也支持对加密物理磁盘的镜像。
打开Macquisition 2018R1软件,选择“Image Device”
Macquisition界面中展示出了物理内存,一个包含了APFS容器的卷(Macunitosh HD分区,VM分区,Preboot分区,Recovery分区)
上图中展示信息的说明:
disk0—苹果计算机中的物理磁盘,指示了其中包含APFS容器(红色部分)
disk1—代表disk0中的APFS容器下的封装的综合信息。MacOS系统将这一部分信息分开多个虚拟磁盘展示,但是Mac系统中只包含一个物理磁盘
Disk1s1(Macintosh HD)—红色字体表示该区域为加密区域。虽然MacOS会将此区域显示为/dev/disk 驱动器,并未真正阻止访问,但是这个区域不能单独进行镜像。
此时,检验人员可以选择对disk0进行加密状态下的镜像,或者解密镜像后对逻辑文件进行采集。
解密磁盘
如果检验人员倾向于预览加密卷或者采集部分逻辑文件,则需要先对加密磁盘进行解密。解密Macintosh HD卷的第一步,选择Macquisition中的“Tools”,再选择“Mount Device”
输入相应密码来解锁分区
可使用已知的“FileVault2”加密密码(即执行加密的账户密码)或输入Mac的恢复密钥来解锁卷。完成输入后点击解锁
分区解密成功消息提示
当解密完成后,检验人员可以回到“Image Device”界面。此时,界面中红色部分显示已解锁
注意,此时disk1s1已经显示解锁成功,但是检验人员依然不能对这个分区进行单独镜像。此时需要选择采集逻辑文件或者获取整个物理磁盘。
采集解密后的逻辑文件
由于无法直接对加密APFS分区进行镜像,Macquisition 2018R1采取了采集逻辑文件的方式来解决问题。选择采集解密后的逻辑文件,进入“Data Collection”选项。
检验人员可以选择任意逻辑文件进行提取
解密卷中的文件和文件夹可以选择提取到一个目标文件夹或镜像中,点击“Start”开始提取。
获取整个磁盘物理镜像
如果检验人员仍需要对整个物理磁盘进行镜像,在完成逻辑文件提取后,回到“Image Device”界面,然后选disk0。
镜像时提供一个界面供备注
注:在备注窗口内,检验人员可以输入任意信息,比如磁盘密码、恢复密钥等,由此可以记录并用于后续Blacklight分析使用。
将一个APFS系统检材添加到案例中
在苹果取证工作站中打开Blacklight,创建或打开一个案例,点击添加检材并选中之前Macquisition获取的APFS镜像。
添加检材后APFS容器内容以灰色显示
注:在上述图片中灰色部分显示的是APFS容器下的内容和相关的卷内容。解密APFS系统的工具内置在了Blacklight 2018R1中。
选中Macintosh HD前面的选项框来打开解密组件的界面。
可以在此窗口输入密码或恢复密钥。
注:如果使用恢复密钥,请将恢复密钥以全部大写输入,并在对应位置输入“-”。
当加密卷解密成功后,选择相应处理选项并点击开始进行分析。
注:分析APFS系统时,只能对合并存储区域进行数据挖掘,由此检验人员必须在添加检材区域对未分配空间进行添加并进行挖掘。如果在选择分析选项时未选择挖掘未分配空间,则需要重新选择并添加磁盘,未分配空间将会自动选择。
选择APFS检材的处理选项
分析完成后,检验人员可以对APFS系统检材的文件系统和目录结构进行浏览。
解密完成的状态下,检验人员可以对数据进行浏览、添加书签以及制作报告等常规操作。
