APFS是Mac OS的新文件系统，迄今为止，许多取证套件在支持方面仍在努力追赶。因此，可能需要进行一些变通才能对Mac OS APFS镜像进行分析。这篇简短的博客文章将介绍其中一种变通方法——在Windows中挂载APFS镜像。

Paragon有一个（预览版）免费驱动程序，可以在Windows中挂载APFS卷！太棒了！

APFS for Windows 会寻找已连接的APFS驱动器。由于我们拥有的是镜像文件，我们需要将镜像挂载为SCSI设备，以便Windows APFS驱动程序能够识别它。为此，我们将使用 Arsenal Image Mounter。

使用 Arsenal Image Mounter 挂载镜像。我必须选择4096的扇区大小才能使其工作，因为我镜像中的扇区大小是4096（如果你需要知道你镜像的扇区大小，可以使用像 mmls 这样的工具来检查）。

从 Paragon 下载并安装 APFS for Windows，然后启动它。它应该会自动检测到APFS卷：

现在，你可以在Windows中浏览APFS驱动器了：

并将其添加到你喜爱的全能工具中，例如 X-Ways，作为一个逻辑驱动器：

祝你取证愉快！