《電子數(shù)據(jù)取證技術(shù)》課件-第6章

6.

macOS系統(tǒng)取證技術(shù)目錄CONTENTS01macOS操作系統(tǒng)6.1.1

macOS操作系統(tǒng)特點6.1.2

不同版本macOS的差異6.1.3

macOS取證主要信息源02macOS系統(tǒng)取證6.2.1macOS支持的文件系統(tǒng)及特點6.2.2macOS日志文件、配置文件分析6.2.3macOS網(wǎng)絡(luò)信息分析6.2.4macOS瀏覽器信息分析6.2.5macOS郵件客戶端信息分析6.2.6其他信息源分析6.1macOS操作系統(tǒng)6.1.1macOS操作系統(tǒng)特點macOS是蘋果公司針對蘋果電腦系列產(chǎn)品推出的計算機操作系統(tǒng)，2012年7月發(fā)布10.8版本后由MacOSX更名為OSX，2016年9月發(fā)布10.12版本后更名為macOS，目前（截止至2018年10月）的最新版本為2018年9月發(fā)布的macOSMojave（版本號10.14）與蘋果公司其他知名的產(chǎn)品iPhone、iPad搭載的操作系統(tǒng)iOS類似，macOS也是結(jié)合蘋果電腦產(chǎn)品的硬件深度定制的，在2005年之前，蘋果計算機使用的大多還是PowerPC架構(gòu)的微處理器，與常見的x86架構(gòu)的個人計算機產(chǎn)品互不兼容，直到2006年，蘋果公司推出了他們的第一款搭載Intelx86微處理器的MacBook，在同步發(fā)行的BootCamp的幫助下，蘋果計算機也支持了Windows操作系統(tǒng)的安裝。目前常見的蘋果計算機產(chǎn)品主要是蘋果的筆記本電腦MacBook、一體機iMac、工作站MacPro、小型主機Macmini。早期搭載PowerPC架構(gòu)處理器的電腦例如PowerBook、iBook、iMacG系列等現(xiàn)在基本已經(jīng)不再使用。MacOSX體系結(jié)構(gòu)包括Darwin、核心框架、應(yīng)用框架層、用戶體驗層等幾部分，整個層次結(jié)構(gòu)如圖6-1所示。這些層次中，Darwin層是整個系統(tǒng)的基礎(chǔ)，它是開源的，提供了底層的API，而其上的三層都是閉源的，屬于蘋果私鑰的知識產(chǎn)權(quán)。見圖6-1：圖6-1MacOSX架構(gòu)圖6.1.1macOS操作系統(tǒng)特點Darwin是一個開發(fā)源代碼、符合POSIX標準的類Unix系統(tǒng)，操作系統(tǒng)的內(nèi)核為XNU(XisNotUnix的縮寫)，最早是由NeXT公司為了NeXTSTEP操作系統(tǒng)開發(fā)的，這是一種混合式的核心，結(jié)合了Mach微內(nèi)核、BSD和稱為DriverKit的驅(qū)動程序接口。在蘋果公司收購NeXT公司后，XNU的Mach內(nèi)核部分被替換為開放軟件基金會（OpenSoftwareFoundation）創(chuàng)建的社區(qū)版的Mach內(nèi)核OSFMK，BSD部分替換為FreeBSD，DriverKit改名為I/OKit，開發(fā)語言也由ObjectiveC變?yōu)镃++。XNU內(nèi)核源代碼基于蘋果開源許可（ApplePublicSourceLicense）發(fā)布，可于蘋果公司的網(wǎng)站獲取（/source/xnu/）。核心框架，有時候也稱為圖形和多媒體層，該層包括OpenGL、Quartz、QuickTime、應(yīng)用程序服務(wù)等。應(yīng)用框架層，包括Classic、Cocoa、Carbon和java等。用戶體驗層，用來提供用戶界面，包括aqua、Quicklook、spotlight等組件。6.1.1macOS操作系統(tǒng)特點2001推出的MacOSX10.0是macOS系列操作系統(tǒng)版本之間的一個明顯的分界點、在這之前蘋果電腦搭載的還是現(xiàn)在已經(jīng)被稱為“ClassicMacOS”的SystemSoftware7、MacOS8、MacOS9等操作系統(tǒng)，“ClassicMacOS”的最后一個版本是MacOS9.2.2。在這之后的MacOSX則是由名為Darwin的操作系統(tǒng)部分和名為Aqua的圖形界面部分結(jié)合而成。早期的MacOSX10.0到MacOSX10.3中仍然保留了對經(jīng)典環(huán)境的兼容性，通過一個模擬環(huán)境，用戶可以將MacOS9作為一個程序來運行，在其中可以執(zhí)行為MacOS9設(shè)計的程序。OSX10.9往后的版本均在應(yīng)用商店中免費為蘋果電腦用戶提供，所以市面上主流的蘋果電腦中運行的操作系統(tǒng)基本都是最近發(fā)布的一兩個版本。MacOSX10.0發(fā)布于2001年3月，內(nèi)部代號為Cheetah，由于相對于之前的MacOS，MacOSX是完全重寫的操作系統(tǒng)，功能并不是十分齊全。MacOSX10.1發(fā)布于2001年9月，內(nèi)部代號為Puma，在前一代之后不久就推出，增加了對DVD播放的支持。MacOSX10.2發(fā)布于2002年8月，代號為Jaguar，蘋果公司第一次公開地使用了貓科動物的名稱作為操作系統(tǒng)的商標，一直延續(xù)到了MacOSX10.8。該版本中首次加入了日志式文件系統(tǒng)的支持，加入了Bonjour協(xié)議用于發(fā)現(xiàn)網(wǎng)絡(luò)上的設(shè)備和服務(wù)，比如打印機或其他電腦。新增了即時通訊客戶端iChat。6.1.2不同版本macOS的差異MacOSX10.3發(fā)布于2003年10月，代號為Panther，加入了對用戶目錄進行加密的功能FileVault，蘋果公司推出了新的Web瀏覽器Safari代替了之前和微軟合作使用的InternetExplorerforMac。系統(tǒng)中的卷默認使用了被稱為HFSJ的日志式文件系統(tǒng)MacOSX10.4發(fā)布于2005年4月，代號為Tiger，在這個版本中加入了基于索引的搜索工具Spotlight。除了標準的Unix文件系統(tǒng)權(quán)限控制，HFS+的文件系統(tǒng)中還加入了基于訪問控制列表（accesscontrollist）的權(quán)限管理機制MacOSX10.5發(fā)布于2007年10月，代號為Leopard，自動備份工具TimeMachine就是隨著這個版本發(fā)布的。在Finder中直接按空格鍵快速預(yù)覽文件的特性也是在這個版本中加入了MacOSX。同時推出的還有BootCamp軟件，可以用于在搭載Intel處理器的蘋果電腦上安裝微軟的Windows操作系統(tǒng)MacOSX10.6發(fā)布于2009年6月，代號為SnowLeopard，這個版本起，蘋果公司完全放棄了PowerPC架構(gòu)處理器的支持，僅支持安裝在使用Intel處理器的蘋果電腦上。這個版本主要做了性能的改進，大部分系統(tǒng)應(yīng)用程序都進行了重新編譯以支持64位架構(gòu)6.1.2不同版本macOS的差異MacOSX10.7發(fā)布于2011年7月，代號為Lion，這是第一個通過應(yīng)用商店MacAppStore發(fā)行的MacOS操作系統(tǒng)，系統(tǒng)中新增了Mac間文件共享的工具AirDrop，只要簡單的拖動就可以在設(shè)備間傳輸文件。隨系統(tǒng)發(fā)行的還有FaceTime，可以用于Mac、iPhone、iPad之間的視頻通話。新版本的加密工具FileVault2提供了全盤加密的功能，添加了對外部硬盤的支持?？捎糜谛迯?fù)系統(tǒng)的恢復(fù)分區(qū)也是在這個版本中加入OSX。在MacOSX10.7.2的更新中推出了iCloud功能，支持郵件、日歷和聯(lián)系人的同步。OSX10.8發(fā)布于2012年7月，代號為MountainLion。蘋果公司將MacOSX重命名為OSX，去掉了開頭的Mac。在這個版本中iChat應(yīng)用被Messages替換，新增了對iMessage的支持，可以與運行iOS的設(shè)備互通消息，用戶iPhone、iPad上的iMessage消息也會同步到MacOS上。系統(tǒng)中新增的備忘錄、提醒事項、通知中心、游戲中心等也多是源于iOS中的功能。OSX10.9發(fā)布于2013年10月，代號為Mavericks。從這個版本起，蘋果公司不再按慣例使用貓科動物的名稱作為系統(tǒng)的代號，而是使用了景點的名字，系統(tǒng)也不再需要付費升級，在MacAppStore中即可免費獲取。與上一個版本類似，這個版本中加入了同樣先在iOS系統(tǒng)中搭載的iBooks電子書程序和地圖程序，F(xiàn)inder中加入了文件標簽功能和標簽頁瀏覽模式。在這個版本中iCloud的功能得到了增強，可以在設(shè)備間同步鑰匙串中存儲的密鑰。6.1.2不同版本macOS的差異OSX10.10發(fā)布于2014年10月，代號為Yosemite。隨之推出的iCloudDrive云存儲兼容OSX、iOS，Windows三大操作系統(tǒng)平臺，支持存儲應(yīng)用數(shù)據(jù)、音樂、照片、視頻等各類數(shù)據(jù)，用戶可以方便的跨平臺存取自己的文件。新增的Continuity功能可以將iOS的內(nèi)容同步至OSX，例如使用Mac收發(fā)iPhone的短信、通過Mac撥打和接聽電話，AirDrop也支持了iOS和OSX之間的文件傳輸OSX10.11發(fā)布于2015年9月，代號為ElCapitan。這是一次小的系統(tǒng)更新，主要增強了OSX的設(shè)計和可用性，同時包括性能改進和安全更新。新增的系統(tǒng)完整性保護（SystemIntegrityProtection）禁止軟件以root身份在OSX上運行，并且目錄/System、/sbin、/usr僅供系統(tǒng)使用，系統(tǒng)會阻止用戶在這些目錄的操作macOS10.12發(fā)布于2016年9月，代號為Sierra，蘋果公司將OSX重命名為macOS以匹配公司的其他操作系統(tǒng)（iOS、watchOS、tvOS）的命名體系。蘋果公司對之前版本的Continuity功能進行了擴展，當用戶佩戴配對的AppleWatch靠近電腦時，電腦系統(tǒng)會自動解鎖，同一AppleID附件的macOS和iOS設(shè)備的剪貼板可以互通，用戶可以很方便地在不同設(shè)備見拷貝、剪切和粘貼。iCloudDrive新增了可以自動同步文稿和桌面中的文件的選項。Siri語音助手也被添加進了這個版本的macOS。在macOSSierra中，蘋果發(fā)布了名為AppleFileSystem（APFS）的新文件系統(tǒng)，該文件系統(tǒng)面向固態(tài)存儲介質(zhì)設(shè)計，原生支持多種加密方式（如全盤加密、單密鑰加密、多密鑰加密），在當時的系統(tǒng)中并沒有成為默認的文件系統(tǒng)，只是增加了支持。6.1.2不同版本macOS的差異macOS10.13發(fā)布于2017年9月，代號為HighSierra。在該版本中，Apple文件系統(tǒng)（APFS）成為了默認的文件系統(tǒng)，取代了之前已使用多年的文件系統(tǒng)HFS+，新增的高效視頻編碼（HEVC）支持對數(shù)字視頻相關(guān)的取證提出了新的挑戰(zhàn)。macOS10.14，代號為Mojave，發(fā)布于2018年9月。這是最后一個可運行32位應(yīng)用的macOS版本。該版本新增了與iOS系統(tǒng)中的股市、語音備忘錄和家庭app類似的應(yīng)用程序。Mac和iPhone的互通功能進一步加強，用戶可以用iPhone就近拍張照片或掃描文檔，然后讓它自動出現(xiàn)在Mac上。macOS10.15，代號為Catalina，發(fā)布于2019年6月。6.1.2不同版本macOS的差異6.1.3macOS取證主要信息源macOS是類Unix系統(tǒng)，所以從取證角度上與Windows有很大的不同，與Unix/Linux操作系統(tǒng)的取證存在一些相似點，但作為圖形用戶界面的操作系統(tǒng)，與一般用于服務(wù)器中時命令行界面的Unix/Linux操作系統(tǒng)取證操作又有不少的差異。從文件系統(tǒng)目錄結(jié)構(gòu)看，macOS一部分目錄是Unix通用目錄，例如，/bin（unix命令存放目錄）、/sbin（unix系統(tǒng)管理類命令存放目錄）、/usr（第三方程序安裝目錄）、/dev（設(shè)備文件存放目錄）、/etc（系統(tǒng)配置文件存放目錄）、/tmp（臨時文件存放目錄）、/var（存放經(jīng)常變化的文件）。其中，/etc、/tmp、/var目錄在取證中是需要重點關(guān)注的地方，此三個目錄實際上分別為指向/private/etc、/private/tmp和/private/var的鏈接。macOS還有一部分目錄是其特有的目錄，從概念上講，包括User域（Domain）、Local域、Network域、System域等。User域包含特定用戶的資源，是用戶的主目錄。本地主目錄的位置為“/Users/用戶名/”（注：用戶名不同，位置不同。若用戶名為bob，則主目錄位置為/Users/bob/，下同）。若為網(wǎng)絡(luò)用戶則主目錄的位置為“/Network/Users/用戶名/”。用戶主目錄存放有用戶的個人資料和配置，在取證中是需要重點關(guān)注的地方。在該目錄下有幾個常見的標準目錄是取證時的重要信息資源，如.Trash、Applications、Desktop、Documents、Library、Movies、Music、Pictures、Sites，見表6-1。另外，與Unix/Linux系統(tǒng)的取證類似，/Users/用戶名/.bash_history、/Users/用戶名/.bash_profile、/Users/用戶名/.bashrc等文件存有使用記錄、Shell的配置。這里根據(jù)用戶使用的Shell不同，相應(yīng)的文件也不同，例如Zsh的配置文件、歷史記錄文件一般位于/Users/用戶名/.zshrc、/Users/用戶名/.zsh_history。見表6-1所示：6.1.3macOS取證主要信息源表6-1廢紙簍/Users/用戶名/.Trash/共享/Users/Shared/下載/Users/用戶名/Downloads/桌面/Users/用戶名/Desktop/文稿/Users/用戶名/Documents/影片/Users/用戶名/Movies/音樂/Users/用戶名/Music/圖片/Users/用戶名/Pictures/公共/Users/用戶名/Public/資源庫/Users/用戶名/Library/6.1.3macOS取證主要信息源Local域包括可供單個系統(tǒng)上所有用戶使用的資源，包括共享的應(yīng)用程序。“/Applications”目錄為Local域，它是應(yīng)用程序目錄，默認所有的GUI應(yīng)用程序都安裝在這里。Network域包含可供局域網(wǎng)用戶所使用的資源，其目錄位置為“/Network/”，其下的子目錄常包含Applications、Library、Servers、Users。System域包含屬于MacOS的庫、程序、腳本和配置。其目錄位置為“/System/”。/System/Library目錄存放了操作系統(tǒng)的大部分組建，如各種framework，以及內(nèi)核模塊。另外掛載在根目錄下的還有/Library、/Volumes、/cores、/private，分別用來存放系統(tǒng)數(shù)據(jù)文件和文檔、文件系統(tǒng)掛載點、內(nèi)核轉(zhuǎn)儲、“/tmp,/var,/etc”。等鏈接目錄的目標目錄。其中/private目錄在取證中是需要重點關(guān)注的地方。macOS中存儲配置等信息一般使用PropertyList文件，即擴展名為.plist的文件。也有一些程序使用SQLite數(shù)據(jù)庫存儲數(shù)據(jù)。應(yīng)用程序的配置及數(shù)據(jù)一般就存儲在資源庫，即/Users/用戶名/Library中。6.1.3macOS取證主要信息源macOS中的鑰匙串功能中保存有操作系統(tǒng)中的各種密鑰、應(yīng)用程序密碼、網(wǎng)站密碼、無線網(wǎng)絡(luò)密碼、證書文件，往往會存有一些對案件調(diào)查有利的信息。鑰匙串界面見圖6-2。圖6-26.1.3macOS取證主要信息源macOS系統(tǒng)中提供了很多便利的程序，如郵件客戶端、備忘錄、便箋、提醒事項、信息等，往往這些應(yīng)用中會存有一些關(guān)鍵信息，對調(diào)查取證有很大的幫助。6.1.3macOS取證主要信息源6.2macOS系統(tǒng)取證6.2.1macOS支持的文件系統(tǒng)及特點1.HFS+macOS10.12及之前版本的macOS主要使用HFS+的文件系統(tǒng)，是HFS（HierarchicalFileSystem）文件系統(tǒng)的更新版本。又名HFSPlus、HFSExtended、MacOSExtended。HFS+改進了HFS文件系統(tǒng)的結(jié)構(gòu)和對數(shù)據(jù)管理中存在的不足。HFS+文件系統(tǒng)的主要特點體現(xiàn)在以下幾個方面[HFSPlusVolumeFormat，/library/archive/technotes/tn/tn1150.html，2004年3月5日]：（1）采用32位數(shù)記錄分配塊數(shù)量HFS和HFS+文件系統(tǒng)對磁盤卷采用分塊進行分配，將一個卷分成等大的分配塊（allocationblocks）。HFS文件系統(tǒng)采用16位數(shù)來記錄分配塊的數(shù)量，最多只能記錄216（即65,536個）個分配塊。而對于HFS+文件系統(tǒng)，采用32位數(shù)來記錄分配塊的數(shù)量，最多能記錄232（即4,294,967,296個）個分配塊。對于macOS系統(tǒng)上的非空數(shù)據(jù)，都必須占用整數(shù)個分配塊，也就是說，即使一個數(shù)據(jù)只有一個字節(jié)，也要占用一個分配塊。而HFS+文件系統(tǒng)增大了每個卷分配塊的數(shù)量，可以使分配塊的單位空間更小，從而達到減少存儲空間浪費的目的。（2）目錄樹節(jié)點大小增加到4KBHFS文件系統(tǒng)的目錄樹節(jié)點大小為512字節(jié)，由于HFS+文件系統(tǒng)目錄樹索引節(jié)點需要存儲附加指針和節(jié)點描述符兩個關(guān)鍵值，HFS+文件系統(tǒng)的目錄樹節(jié)點大小增加到4KB。（3）單一文件大小得到提升HFS文件系統(tǒng)的單一文件大小上限為231bit，而HFS+文件系統(tǒng)的單一文件大小最大可達到263bit。（4）支持長文件名HFS文件系統(tǒng)對文件名最長支持到31個字符，而HFS+文件系統(tǒng)對文件名采用Unicode編碼，最長達到255個字符。6.2.1macOS支持的文件系統(tǒng)及特點2.APFS蘋果公司在2016年的WWDC上正式公布了全新的文件系統(tǒng)APFS（AppleFileSystem），macOS10.12版本中加入了實驗性的APFS文件系統(tǒng)支持，在隨后的macOS10.13中，APFS文件系統(tǒng)正式成為了系統(tǒng)默認的文件系統(tǒng)，蘋果開發(fā)APFS的目標是修復(fù)HFS+中存在的缺陷，該文件系統(tǒng)針對閃存/固態(tài)存儲設(shè)備優(yōu)化，支持多種加密方法。該文件系統(tǒng)在相對較小或是很大容量的存儲設(shè)備中都可以使用，在蘋果公司多個平臺的操作系統(tǒng)：macOS，iOS，tvOS，watchOS和audioOS中均使用了APFS。6.2.1macOS支持的文件系統(tǒng)及特點APFS的主要特點包括：（1）寫入時復(fù)制（Copy-on-write）元數(shù)據(jù)，在崩潰、斷電等情況下保護數(shù)據(jù)。（2）文件和目錄克隆不會再重復(fù)占用一遍空間使得克隆更快，更節(jié)省存儲空間，對克隆的文件所做的修改會寫入到其他區(qū)域，與原始文件相同的部分在文件系統(tǒng)中是共享的。（3）快照功能，保存文件系統(tǒng)的只讀實例，使備份和還原操作變得更高效，可以將文件還原到一個指定的時間點。（4）空間共享，多個APFS文件系統(tǒng)的卷可以共用一個APFS容器下的物理磁盤空間，每個卷的可用空間都是當前容器中的可用空間。支持快速調(diào)整卷大小而不用重新分區(qū)。6.2.1macOS支持的文件系統(tǒng)及特點（5）加密支持是APFS設(shè)計中重要的一部分，APFS支持全盤加密、文件加密、敏感元數(shù)據(jù)加密，根據(jù)系統(tǒng)和硬件的不同APFS使用AES-XTS或AES-CBC進行加密。除支持單密鑰加密外，還支持多密鑰加密。多密鑰加密模型中，每個文件使用不同的密鑰、敏感元數(shù)據(jù)使用其他密鑰加密。多密鑰加密確保了數(shù)據(jù)的安全，即使獲取了設(shè)備密鑰，依然無法解密部分文件。（6）稀疏文件存儲，只有當真正需要存儲空間時才會分配空間，可以節(jié)省磁盤空間存儲更大的文件。（7）原子級安全存儲基元（atomicsafe-saveprimitives），從用戶的角度來看，事務(wù)要么完成，要么不完成。傳統(tǒng)的文件系統(tǒng)一般創(chuàng)建在一個具有獨立空間的卷或者分區(qū)上，文件系統(tǒng)對于卷內(nèi)的空間是獨占的，不會被其他的文件系統(tǒng)使用。而APFS改變了這一做法，多個APFS文件系統(tǒng)的卷可以共用一個APFS容器下的物理磁盤空間，從而可以實現(xiàn)快速調(diào)整卷的大小的特性。6.2.1macOS支持的文件系統(tǒng)及特點在終端中執(zhí)行diskutilapfslist可以查看APFS容器中的卷列表，如圖6-3。圖6-3（一）.macOS支持的文件系統(tǒng)及特點3.其他除了支持HFS、HFS+、APFS這些macOS獨有文件系統(tǒng)外，macOS還支持FAT、FAT32、ExFAT的讀寫，支持讀取微軟的NTFS文件系統(tǒng)，但需要安裝第三方驅(qū)動程序才能實現(xiàn)寫入的操作，所以在對macOS系統(tǒng)在線取證的操作中推薦使用ExFAT文件系統(tǒng)的外部磁盤，這樣獲取數(shù)據(jù)到Windows操作系統(tǒng)的機器中也可以方便的讀取。含有HFS、HFS+文件系統(tǒng)的磁盤在Windows中是無法直接掛載讀取的，蘋果在BootCamp中包含了一個為Windows制作的HFS、HFS+文件系統(tǒng)的只讀驅(qū)動，第三方公司的程序也能支持讀寫HFS、HFS+文件系統(tǒng)，例如ParagonSoftware公司的系列軟件。取證工具對HFS、HFS+的支持也已經(jīng)比較完善，例如WinHex/X-WaysForensics、FTKImagerLite都可以讀取HFS、HFS+文件系統(tǒng)。6.2.1macOS支持的文件系統(tǒng)及特點目前，大多取證軟件中對APFS的支持還都不是很完善，EnCaseForensics在v8.07中新增了對APFS的支持，BlackBagTechnologies公司的Blacklight2018也完全支持了APFS的分析。WinHex/X-WaysForensics目前還只能識別APFS分區(qū)不能解析文件。ParagonSoftware公司的APFSforWindows支持在Windows系統(tǒng)中掛載包含APFS文件系統(tǒng)的磁盤。6.2.1macOS支持的文件系統(tǒng)及特點6.2.2macOS日志文件、配置文件分析1.常見系統(tǒng)基本信息macOS系統(tǒng)的基本信息主要包括產(chǎn)品名稱、當前系統(tǒng)版本、完整計算機名、主機名和最后登錄用戶等信息分別存放在/System/Library/CoreServices/SystemVersion.plist、/Library/Preferences/SystemConfiguration/preferences.plist、/Library/Preferences/com.apple.loginwindow.plist中。Plist（PropertyList，屬性列表）文件是一種用來存儲序列化后的對象的文件。屬性列表文件的文件擴展名為.plist，因此通常被稱為Plist文件。由于Plist文件中存儲的數(shù)據(jù)是抽象的，其采用的文件格式可以不止一種，有XML格式也有二進制格式的文件。在macOS中，Plist通常用于存儲配置文件、歷史記錄文件。在蘋果公司的開發(fā)工具Xcode中包含了一個可以以樹形結(jié)構(gòu)查看與編輯Plist文件的工具。/System/Library/CoreServices/SystemVersion.plist中保存了當前系統(tǒng)版本、產(chǎn)品版權(quán)信息，文件內(nèi)容如下。ProductBuildVersion、ProductVersion即當前版本信息。圖6-46.2.2macOS日志文件、配置文件分析/Library/Preferences/SystemConfiguration/preferences.plist中保存了計算機名、主機名的信息，文件內(nèi)容如下。ComputerName為完整的計算機名，LocalHostName為主機名。圖6-56.2.2macOS日志文件、配置文件分析/Library/Preferences/com.apple.loginwindow.plist為最后登錄的用戶信息，見下圖。lastUserName為最后登錄的用戶的用戶名。圖6-66.2.2macOS日志文件、配置文件分析/Library/Receipts/InstallHistory.plist中保存了系統(tǒng)和應(yīng)用的安裝記錄，見下圖。第一條記錄item0即為macOS系統(tǒng)安裝的記錄。item1向后的記錄則包含了后續(xù)的應(yīng)用安裝、系統(tǒng)更新安裝記錄。圖6-76.2.2macOS日志文件、配置文件分析其他一些在取證中常用到的數(shù)據(jù)保存位置見下表。表6-2開機啟動項/Users/用戶名/Library/Preferences/com.apple.loginitems.plist最近訪問的文件/Users/用戶名/Library/Preferences/com.apple.recentitems.plist最后預(yù)覽的文件/Users/用戶名/Library/Preferences/com.apple.Preview.LSSharedFileList.plistDock圖標配置/Users/用戶名/Library/Preferences/com.apple.dock.plist6.2.2macOS日志文件、配置文件分析2.日志文件的取證日志文件是MacOS常見的取證信息來源，一般日志文件位于“/private/var/log”，其中有一些日志與linux或unix相同，此處不另行闡述。也有一些特殊日志或特殊格式的日志。在該目錄下，常見的有system.log、system.log.0.gz文件，通過該日志可以獲得開關(guān)機記錄的用戶名和時間，如圖所示。圖6-8“private/var/log”目錄下系統(tǒng)日志6.2.2macOS日志文件、配置文件分析macOS的部分系統(tǒng)日志文件擴展名為.asl（AppleSystemLogger），可使用控制臺程序打開，見下圖。/*/documentation/os/logging*/圖6-96.2.2macOS日志文件、配置文件分析另外，在macOS10.12以后，蘋果采用了一種新的日志“UnifiedLog”，該文件格式蘋果公司對外不公開、僅提供讀寫日志的接口。日志存儲在/var/db/diagnostics和/var/db/uuidtext兩個目錄下。其中包含大量的信息，例如，網(wǎng)絡(luò)連接、USB使用記錄信息、系統(tǒng)啟動信息、系統(tǒng)備份、郵件同步、iCloud連接設(shè)備等。這些信息除了專用取證工具進行自動分析外，可以使用/usr/bin/log命令或者蘋果提供的應(yīng)用控制臺工具進行分析。圖6-96.2.2macOS日志文件、配置文件分析在macOS中，計算機網(wǎng)絡(luò)配置文件主要查看/Library/Preferences/SystemConfiguration/preferences.plist，在private/var/db/dhcpclient/leases/目錄下存儲有通過DHCP獲取的詳細網(wǎng)絡(luò)配置信息，如圖6-10所示。有關(guān)網(wǎng)絡(luò)連接或網(wǎng)絡(luò)行為的信息可以通過對相關(guān)應(yīng)用的日志分析進行。圖6-10DHCP網(wǎng)絡(luò)配置信息6.2.3macOS網(wǎng)絡(luò)信息分析Safari是macOS中常用的瀏覽器，老版本的Safari瀏覽記錄以Plist格式的文件保存在/Users/用戶名/Library/Safari目錄中，文件名為History.plist。History.plist中WebHistoryDomains.v2為訪問的網(wǎng)址的主域名、WebHistoryDates中包含訪問的網(wǎng)址、title為頁面標題、visitCount為訪問次數(shù)、lastVisitedDate為最后訪問時間等。新版本的Safari瀏覽記錄以SQLite格式的數(shù)據(jù)庫文件保存在/Users/用戶名/Library/Safari目錄中，文件名為History.db。SQLite是遵守ACID的關(guān)系型數(shù)據(jù)庫管理系統(tǒng)，它是由D.RichardHipp使用C語言編寫的開放源代碼的嵌入式數(shù)據(jù)庫引擎。與許多其它數(shù)據(jù)庫管理系統(tǒng)不同，SQLite不是一個客戶端/服務(wù)器結(jié)構(gòu)的數(shù)據(jù)庫引擎，而是被集成在用戶程序中，支持大部分主流操作系統(tǒng)，在iOS和Android這類移動平臺操作系統(tǒng)中使用非常廣泛。有很多免費的第三方工具可以用來查看和編輯SQLite數(shù)據(jù)庫文件，例如DBBrowserforSQLite（/）。圖6-96.2.4macOS瀏覽器信息分析History.db中history_visits、history_items表中的數(shù)據(jù)為瀏覽器的歷史記錄。其中history_items表中的url為頁面鏈接、domain_expansion為鏈接的部分域名、visit_count為該鏈接的總訪問次數(shù)，history_visits表中visit_time為訪問時間、title為頁面標題、history_item的值對應(yīng)history