根據取證專家取證工具的不同,制作一個蘋果設備的法證鏡像既可以像外科手術一樣繁瑣復雜,也可以像喝水吃飯一樣簡單。在制作一個蘋果系統全盤鏡像之前,我們需要注意以下問題。
1.蘋果設備的型號:首先確認序列號/型號,確認當前取證的設備是否采用了T2加密芯片技術。是否使用了安全啟動模式來阻斷通過外部設備啟動的可能性
2.當前取證的蘋果設備運行了什么檔案系統(HFS+ vs APFS)
3.當前取證的蘋果設備上是否采用了FileVault2加密,是否已經獲得了密碼或恢復密鑰
4.針對當前蘋果設備需要邏輯鏡像獲取還是物理鏡像獲取
5.當前蘋果設備是否采用了韌體密碼
6.當前蘋果設備是否采用了混合式硬碟
7.是否需要獲取記憶體鏡像
對蘋果設備進行取證,掌握上述問題是必要的。Macquisition,Blackbag公司自主研發的蘋果設備鏡像工具,可以幫助取證人員快速解答以上的大部分問題。同時,Macquisition支持對蘋果設備是否采用T2加密芯片,運行的何種檔案系統,是否存在FileVault2加密以及韌體加密是否開啟等。
更多資訊點擊https://www.hdw.top/subject/174581570860810865
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/121608.html
標籤:其他技術討論專區
上一篇:nast怎么安裝
下一篇:新手程式員,如何選擇發展作業地點