2024年3月29日发(作者:)

浅谈Mac OS操作系统的取证

1 Mac OS介绍

Mac OS是基于Unix内核的图形化操作系统,是首个在商用领域取得成功的图像用户

界面操作系统。苹果机的操作系统已经到了OS 10,代号为MAC OS X(X为10的罗马数

字写法),这是MAC电脑诞生以来最大的变化。现行的最新的系统版本是2017年3月31

日发布的Mac OS Sierra 10.12.5。

MAC OS X 操作系统界面非常独特,突出了形象的图形和人机对话。另外,疯狂肆虐

的电脑病毒几乎都是针对Windows的,由于MAC的架构与Windows不同,所以很少受

到病毒的袭击。

由于苹果系统的独特性,苹果计算机越来越受到大众用户的欢迎。在美国,苹果公司已

经是笔记本市场占有率第一的公司;在中国,越来越多的用户也选择了苹果计算机作为他们

工作和学习的平台。因此,对Mac系统进行取证分析是很有必要的。下面就为大家简单介

绍一下Mac系统下的一些取证技术。

2 Mac OS系统信息

Mac系统的基本信息主要包括产品名称、当前版本、版本序列号、产品版权、完整计

算机名、主机名、安装时间和最后登录用户,这些信息分别存放在

,这些文件都是plist格式。

除了这些最基本的系统信息,取证大师还获取了系统用户信息、网络配置、时区信息、

开关机信息和系统安装记录。

系统用户数据存放在privatevardbdslocalnodesDefaultusers目录下,该目录

下一个文件对应存放一个系统用户的信息,这些文件均为plist格式。通过解析这些文件,

可以获取到用户的帐户名称、创建时间、描述和密码哈希值。

网络配置数据存放在

,该文件是plist格式。通

过解析该文件,可以获取到网络的IP地址、DNS服务器地址、物理地址等等。

时区信息存放在,通过解析这个文件,

取证大师可以获取到当前系统所在地以及当前系统所在时区。

系统安装记录,通过解析这个文件,可以

获取到系统安装记录的系统名称、版本和安装时间。

开关机数据存放在privatevarlog目录下的、文件中,

这些文件是系统日志文件。通过解析这些文件,可以获取到开关机记录的用户名和时间。