如何在Windows中挂载Mac APFS镜像
APFS是Mac OS的新文件系统,目前许多取证套件对其支持仍在完善中。因此,在对Mac OS APFS镜像进行分析时,可能需要采用一些变通方法。这篇简短博文将介绍其中一种方法——在Windows中挂载APFS镜像。
Paragon提供了一个免费的(预览版)驱动程序,可以在Windows中挂载APFS卷!太棒了!
APFS for Windows会寻找已连接的APFS驱动器。由于我们拥有的是镜像文件,我们需要将镜像挂载为SCSI设备,以便Windows APFS驱动程序能够识别它。为此,我们将使用Arsenal Image Mounter。
操作步骤
-
使用Arsenal Image Mounter挂载镜像: 必须选择4096的扇区大小才能正常工作,因为我的镜像中的扇区大小是4096(如果你需要了解镜像的扇区大小,可以使用像mmls这样的工具进行检查)。
-
下载并安装Paragon的APFS for Windows: 启动后,它应该会自动检测到APFS卷。
现在你可以在Windows中浏览APFS驱动器:
并将其添加到你喜欢的一体化工具(如X-Ways)中作为逻辑驱动器:
注意事项
- 此方法不适用于加密(FileVault保护)的磁盘
- Arsenal Image Mounter仅模拟磁盘并将其作为连接的虚拟磁盘提供给系统,不会进行额外处理或解析任何文件系统
- 如果Paragon未来支持加密磁盘,则该方法将适用
评论反馈
有用户反馈X-Ways虽然能识别APFS分区,但无法正确解析。建议使用E01文件格式进行测试。
祝取证分析顺利!