【Mac取证篇】macOS取证注意事项
今天看到群组小伙伴讨论这个,就想起来了多年前做的笔记,找了下没找到,已经不懂现在躺在那块硬盘里吃灰,算了,让它继续躺着吧,最近事情有点多,公众号都没时间更新……。本篇直接使用的Apple官方文档,针对"Mac文件保险箱"和"Mac时间机器",以及自行外延了一点小知识做个小结科普,感兴趣的可以自行去Apple官网查看—【蘇小沐】
(一)Mac文件保险箱
搭载 Apple 芯片或 Apple T2 安全芯片的 Mac数据已自动加密!!!
搭载 Apple 芯片或 Apple T2 安全芯片的 Mac数据已自动加密!!!
搭载 Apple 芯片或 Apple T2 安全芯片的 Mac数据已自动加密!!!
打开文件保险箱可防止他人在未输入登录密码的情况下解密或访问你的数据,以提供一层额外的安全保护。如果 Mac 未搭载 Apple 芯片或 T2 芯片,需要手动打开文件保险箱以加密数据。
1、文件保险箱介绍
Mac 电脑会提供文件保险箱,这是一项内建加密功能,用于保护所有静态数据安全。文件保险箱使用 AES-XTS 数据加密算法保护内部和可移除储存设备上的完整宗卷。
搭载 Apple 芯片的 Mac 上的文件保险箱会通过使用宗卷密钥的数据保护 C 类来实施。在搭载 Apple 芯片的 Mac 电脑和搭载 Apple T2 安全芯片的 Mac 电脑上,直接连接到安全隔区的加密内部储存设备会使用安全隔区的硬件安全性功能和 AES 引擎的功能。用户在 Mac 上启用文件保险箱后,启动过程中将需要其凭证。
知识扩展:Windows的EFS加密
Windows操作系统中也使用了一种加密算法来保护静态数据安全,那就是:EFS(Encrypting File System,加密文件系统),基于公钥密码策略,是Windows 2000/XP及之后的版本所特有的一个实用功能,对于NTFS卷上的文件和数据,都可以直接被操作系统加密保存,在很大程度上提高了数据的安全性。
2、文件保险箱已打开的内部储存设备
如果没有有效的登录凭证或加密恢复密钥,即使物理储存设备被移除并连接到其他电脑,内置 APFS 宗卷仍保持加密状态,以防止未经授权的访问。在 macOS 10.15 中,此类宗卷同时包括系统宗卷和数据宗卷。在 macOS 11 或更高版本中,系统宗卷通过签名系统宗卷 (SSV) 功能进行保护,而数据宗卷仍通过加密进行保护。搭载 Apple 芯片或 T2 芯片的 Mac 电脑通过构建和管理密钥层级实施内部宗卷加密。加密还建立在特定芯片内建的硬件加密技术基础上。此密钥层级的设计旨在同时实现四个目标:
- 请求用户密码用于解密
- 保护系统免受针对从 Mac 上移除的储存媒介的直接暴力破解攻击
- 提供快速擦除内容的安全方法,即通过删除必要的加密材料
- 让用户无需重新加密整个宗卷即可更改其密码(同时也会更改用于保护其文件的加密密钥)
在搭载 Apple 芯片的 Mac 以及搭载 T2 芯片的 Mac 上,所有文件保险箱密钥的处理都发生在安全隔区中;加密密钥绝不会直接透露给 Intel CPU。所有 APFS 宗卷默认使用宗卷加密密钥创建。宗卷和元数据内容使用此宗卷加密密钥加密,此宗卷加密密钥使用类密钥封装。文件保险箱启用时,类密钥受用户密码和硬件 UID 共同保护。
3、文件保险箱已关闭的内部储存设备
在搭载 Apple 芯片或搭载 T2 芯片的 Mac 上,如果在"设置助理"初次运行过程中未启用文件保险箱,宗卷仍会加密,但宗卷加密密钥仅由安全隔区中的硬件 UID 保护。
如果稍后启用了文件保险箱(由于数据已加密,该过程可立即完成),反重放机制会阻止旧密钥(仅基于硬件 UID)被用于解密宗卷。然后宗卷将受用户密码和硬件 UID 共同保护(如前文所述)。
【这一步的操作让我想起了Windows中自动加密BitLocker的骚操作:【加解密篇】电子数据分析之特殊的自加密BitLocker解密 】
[
▲ 【加解密篇】电子数据分析之特殊的自加密BitLocker解密
(二) 在Mac上打开文件保险箱
设置文件保险箱必须是管理员!!!
1、打开文件保险箱
如果打开文件保险箱,你可以选取万一在忘记密码的情况下,如何解锁启动磁盘:
- iCloud 账户和密码:如果你使用iCloud或准备进行设置,便可以享受此选项带来的方便,因为无需记录单独的恢复密钥。
- 恢复密钥:秘钥是为你创建的一串字母和数字,请将密钥的副本保存在加密启动磁盘之外的位置。如果记下密钥,请确保准确地拷贝所显示的字母和数字。然后将密钥安全地保存在可以记住的地方:切勿放在与 Mac 相同的物理位置,以免被其他人看到。如果在商业环境或者学校中使用 Mac,你的机构也可以设定恢复密钥来解锁 Mac。
【警告】切勿忘记恢复密钥。如果打开文件保险箱,但过后忘记了登录密码且无法重设,而且你也忘记了恢复密钥,则将无法登录,你的文件和设置将永久丢失。
路径:在 Mac 上,选取苹果菜单->“系统设置”,点按边栏中的"隐私与安全性",然后点按右侧的"文件保险箱"。(可能需要向下滚动)->点按"打开"。【可能需要输入密码】
2、忘记密码Mac文件保险箱密码
1)选取在忘记密码后,如何解锁磁盘和重设登录密码:
- iCloud 账户:如果已在使用 iCloud,请点按"允许我的 iCloud 账户解锁我的磁盘"。如果还没有使用 iCloud,请点按"设置我的 iCloud 账户来重设密码"。
- 恢复密钥:点按"创建恢复密钥且不使用我的 iCloud 账户"。写下恢复密钥并将其保存在安全位置。
2)点按"继续"。
如果 Mac 还有其他用户,其信息也会加密。用户使用登录密码解锁加密的磁盘。
如有"启用用户"按钮,你必须先输入用户的登录密码,他们才能解锁加密的磁盘。点按"启用用户",选择一名用户,输入登录密码,点按"好",然后点按"继续"。
(三)在Mac上关闭文件保险箱
默认搭载 Apple 芯片或 Apple T2 安全芯片的 Mac电脑数据已自动加密。
文件保险箱会提供进一步的保护,要求你输入登录密码来访问数据。关闭文件保险箱会移除这一层额外的安全保护。
【路径】:选取苹果菜单>“系统设置”,点按边栏中的"隐私与安全性",然后点按"文件保险箱"(可能需要向下滚动)->点按"关闭"->点按"关闭加密"。
(四) 使用"时间机器"备份您的 Mac
了解如何在 Mac 上创建文件的备份。
使用 Mac 的内建备份功能"时间机器"自动备份您的个人数据,包括 App、音乐、照片、电子邮件和文稿。拥有备份能让您恢复因 Mac 中的硬盘(或 SSD)需要抹掉或更换而删除或丢失的文件。
1、创建"时间机器"备份
要使用"时间机器"创建备份,您只需一个外置储存设备。连接储存设备并选择它作为您的备份磁盘后,"时间机器"会自动制作过去 24 小时的每小时备份、过去一个月的每天备份以及之前所有月份的每周备份。如果备份磁盘已满,则最早的备份会被删除。
2、连接外置储存设备
连接以下其中一种外置储存设备。
- 连接到 Mac 的外置驱动器,例如 USB 或雷雳驱动器
- 支持通过 SMB 进行"时间机器"备份的联网储存 (NAS) 设备
- 共享为"时间机器"备份目标位置的 Mac
- AirPort 时间返回舱,或连接到 AirPort 时间返回舱或 AirPort Extreme 基站 (802.11ac) 的外置驱动器
3、选择储存设备作为备份磁盘
1)从菜单栏的"时间机器"菜单中打开"时间机器"偏好设置。或者选取苹果菜单 >“系统偏好设置”,然后点按"时间机器"。
2)点按"选择备份磁盘"。
从可用磁盘列表中选择您的备份磁盘。为了使您的备份仅供拥有备份密码的用户访问,您可以选择"加密备份"。然后点按"使用磁盘":
如果您选择的磁盘没有按照"时间机器"的要求进行格式化,系统会提示您先抹掉磁盘。点按"抹掉"以继续操作。这样操作会抹掉备份磁盘上的所有信息。
【参考资料】
[1] https://support.apple.com/zh-cn/HT201250
[2] https://support.apple.com/zh-cn/guide/mac-help/mchlp2560/mac
总结
操作有风险!!!现场勘察的重要性,不要以为Mac能打镜像就行,加密的镜像打了也无用,知道密码的情况下先关闭文件保险箱再使用时间机器或者关机磁盘镜像!!!
原文链接:https://blog.csdn.net/NDASH/article/details/137755922