閱讀370 返回首頁    go iPhone_iPad_Mac_手機_平板_蘋果apple

支持APFS、Mac OS10.13離線取證

前言

APFS作為蘋果公司最新發布的文件係統,它的出現在給眾多蘋果用戶帶來更好的體驗的同時,也給取證廠商們帶來了巨大的挑戰。美亞柏科作為電子數據取證的龍頭企業,在過去的幾個月時間裏對APFS文件係統進行深入的研究,取得了突破性進展。

目前,相關成果已經集成到了取證大師產品上,正處於測試階段。成為了業內首款支持APFS文件係統離線取證的產品,同時也是首家支持Mac OS10.13離線取證的產品。

研究背景

2016年6月14日,蘋果在 WWDC 上正式宣布了全新的文件格式——Apple File System(蘋果文件係統,簡稱 APFS),用來取代沿用了30多年的HFS/HFS+。根據相關文檔介紹,APFS主要的設計特點包括:

針對閃存/SSD 存儲進行了優化

提供了更強大的加密

寫入時複製(Copy-on-write)元數據

空間分享

文件和目錄克隆、快照、目錄大小快速調整

原子級安全存儲基元

改進的文件係統底層技術

圖1 蘋果使用APFS的相關產品

從APFS的設計特點來看比HFS+先進很多,除了處理速度變快外安全性也提升了不少。據蘋果公司介紹,APFS將通用於其iOS、Mac OS、watchOS和tvOS,2017年3月28日正式發布的iOS 10.3以及2017年6月6日正式發布的Mac OS10.13兩個係統版本文件係統已經全麵切換成APFS。

一個比較直觀的體驗是當你的iOS係統升級到10.3版本或者Mac OS係統升級到10.13版本時,你會發現打開應用、切換後台應用時比之前流暢了不少,磁盤可用空間也變大了,這就是得益於這個新的文件係統。可以預見APFS在不久的將來將全麵取代HFS+文件係統,成為蘋果操作係統上新一代主流的文件係統。

APFS文件係統格式介紹

當Mac OS係統版本升級至10.13時,打開磁盤工具,查看係統磁盤的文件係統格式就會發現文件係統類型變成了APFS(如圖2),新接入的硬盤也可以抹掉格式化成APFS文件係統。

圖2 Mac OS10.13磁盤工具

傳統的文件係統一般創建在一個具有獨立空間的卷或者分區上,文件係統對於卷內的空間是獨占的,不會被其他的文件係統使用。而APFS顛覆了傳統文件係統的做法,多個APFS文件係統可以共用一個磁盤空間,每個文件係統可以使用相同的磁盤空間,這些文件係統被管理在一個“容器”內。

APFS的空間最小分配單位為塊,每個塊包含4096個字節,元數據以及數據都以塊的方式進行存儲。

整體結構布局如圖2所示:

圖3 APFS整體布局

"容器"超級塊:記錄了空間管理節點、映射樹信息節點以及APFS文件係統超塊列表的位置等信息;

空間管理節點:記錄了分配信息節點的位置信息;

分配信息節點:記錄了空間分配表的位置信息,通過空間分配表可以知道哪些塊被占用哪些塊空閑;

映射樹信息節點:APFS文件係統內元數據間的位置信息是通過塊號給出的,但這些並不是物理塊號,僅僅是邏輯塊號。真正的物理塊號要通過映射產生,映射樹信息記錄了如何找到映射關係的關鍵信息;

映射根節點:B+樹的根節點,葉子節點存儲了邏輯塊號和物理塊號的映射關係;

APFS超級塊:每個APFS文件係統都有一個超級塊信息,記錄了塊大小、映射樹信息節點位置、目錄樹根節點位置等信息;

目錄樹根節點:B+樹的根節點,葉子節點存儲了文件/文件夾的名稱、大小、時間、加密屬性、壓縮屬性等信息。

APFS對取證的影響

電子數據取證過程中,需要通過解析磁盤/鏡像中的文件係統,從而獲取文件數據進行進一步的取證分析。這個解析的過程由於不依賴於操作係統,因此要求對整個文件係統結構有全麵的了解。

而APFS文件係統作為蘋果係統上最新的文件係統,擁有眾多的新特性,且由於正式發布不久且其文件係統的結構細節並未公開,網上幾乎找不到有價值的資料,所有工作都需要從零開始研究,要深入研究存在很大的困難。

據了解,目前沒有能真正直接支持APFS文件係統離線解析及取證的軟件。

值得一提的是,在大多數情況下采用簽名恢複、關鍵字搜索對無法解析文件係統的數據進行分析的取證手段,可能不再適用於APFS。因為APFS文件係統內的文件可以帶有壓縮屬性,帶有壓縮屬性的文件,在解壓前無法正常的識別簽名和做搜索,導致傳統的取證分析方法失效。

而隨著2017年6月6日Mac OS10.13操作係統的正式發布,文件係統全麵切換成了最新的APFS文件係統,對於APFS離線取證的研究已經非常有必要。

研究成果

美亞柏科計算機取證研發團隊經過了幾個月對APFS的深入研究,通過大量的測試驗證並結合多年累積下來的文件係統知識經驗,近期完成了APFS文件係統的離線解析。

目前,相關成果已經集成到了取證大師產品上,正處於測試階段。成為了業內首款支持APFS文件係統離線取證的產品,同時也是首家支持Mac OS10.13離線取證的產品。

如圖4所示,試用版取證大師已經能夠成功解析APFS的目錄結構及文件屬性,且能直接預覽文件內容。

圖4 APFS文件係統解析結果

圖5展示的是試用版取證大師對升級了APFS文件係統的MacBook鏡像執行自動取證的結果,係統信息、用戶行為痕跡等都能成功解析。

圖5 Mac OS10.13取證結果

結語

最後更新:2017-10-08 02:40:15

  上一篇:go 蘋果手機又降價,降至國產手機的價格,讓人選擇很困難
  下一篇:go MACD買賣精髓詳解:少而精卻猶如利劍,練到極致基本都能獲利