[发明专利]基于macOS系统的在线取证方法、装置、设备及存储介质

说明书

本发明公开了一种基于macOS系统的在线取证方法、装置、设备及存储介质，属于计算机取证领域。该方法包括：检测取证对象是否开启了系统保护；若取证对象开启了系统保护，则重启取证对象进入macOS系统的恢复模式以关闭系统保护，再重启取证对象再次进入macOS操作系统；识别取证对象的磁盘或分区采用的文件系统的类别；判断磁盘或分区是否加密，若加密，则进一步对应识别到的文件系统的类别对磁盘或分区进行解密，并从解密后的磁盘或分区中提取明文数据。本发明可以在macOS操作系统运行时，且未开启系统保护的情况下，直接制作计算机内存数据的镜像以提取内存数据；并对加密磁盘或分区进行解密后提取其中的明文数据。

技术领域

本发明涉及计算机取证领域，特别涉及一种基于macOS系统的在线取证方法、装置、设备及存储介质。

背景技术

随着计算机犯罪个案数字不断上升和犯罪手段的数字化，搜集电子证据的工作成为提供重要线索及破案的关键。

当前，常见的计算机操作系统有macOS操作系统和Windows操作系统两种。其中，针对应用macOS操作系统计算机的取证，一般通过光盘或者U盘离线(冷)启动计算机，然后制作计算机的磁盘镜像或者提取未加密磁盘中的明文文件。但是，采用这种方式取证存在以下缺点：

1、不能提取HFS+文件系统情况下的加密分区的明文镜像；

2、不能提取APFS文件系统情况下的加密卷的明文文件；

3、不能提取应用macOS操作系统的计算机的内存镜像；

4、提取的加密磁盘或分区镜像很难做解密分析。

发明内容

本发明为了克服现有技术中存在的上述问题，提出了一种基于macOS系统的在线取证方法、装置、设备及存储介质，可以实现在计算机开机状态下的电子数据取证。

本发明是通过下述技术方案来解决上述技术问题：

一种基于macOS系统的在线取证方法，包括以下步骤：

检测取证对象是否开启了系统保护，所述取证对象为应用macOS操作系统的计算机；

若所述取证对象开启了所述系统保护，则重启所述取证对象上进入所述macOS系统的恢复模式以关闭所述系统保护，再重启所述取证对象再次进入所述macOS操作系统；

识别所述取证对象的磁盘或分区采用的文件系统的类别；

判断所述磁盘或所述分区是否加密，若加密，则进一步对应识别到的所述文件系统的类别对所述磁盘或所述分区进行解密，并从解密后的磁盘或分区中提取明文数据。

优选地，若检测到所述取证对象未开启所述系统保护后，或者在重启所述取证对象再次进入所述macOS操作系统后，还包括以下步骤：

加载所述macOS操作系统的内存驱动；

获取所述取证对象的物理内存大小信息和内存数据；

制作所述内存数据的镜像。

优选地，在所述识别所述取证对象的磁盘或分区采用的文件系统的类别之前，还包括以下步骤：

制作所述取证对象的磁盘中或分区中的原始数据的镜像；

判断是否能从所述原始数据的镜像解析出明文数据，若是，则直接结束。

优选地，所述检测取证对象是否开启了系统保护包括以下步骤：

执行csrutil status命令以查看所述取证对象中所述macOS操作系统的状态；

接收所述执行csrutil status命令后的返回结果，所述返回结果为enabled或disabled；