Mac实时取证成像:功能与速度的权衡

本文详细比较了在Mac实时取证成像中使用FTK Imager和dd命令的差异,包括性能测试数据、具体操作步骤和技术细节。重点分析了加密磁盘处理、块大小设置和哈希值计算等关键技术要点。

Mac实时取证成像:功能与速度的权衡

我的Mac成像系列文章如果不涵盖如何对Mac进行实时采集就不完整。随着FileVault2在Sierra安装中似乎成为默认设置,实时成像可能非常有用:

如果硬盘被加密,实时成像将允许您创建分区的未加密逻辑镜像。在我之前的文章中,我介绍了如何使用单用户模式和Linux USB启动盘对Mac进行成像。我一直推迟写这篇博客文章,因为Matt在505Forensics上有一篇非常详细且写得很好的文章涵盖了这个主题。在他的博客文章中,Matt逐步介绍了如何使用Mac OS X操作系统的FTK Imager命令行工具对Mac进行成像。因此,我想介绍如何使用dd命令进行实时成像作为另一个选项。

在现场工作中,我发现使用FTK Imager似乎需要更长的时间。我终于有机会进行了一些测试,发现FTK Imager将驱动器成像为原始镜像(无压缩)需要近2小时。而使用dd和MD5仅需15分钟。我的测试系统是MacBook Air,2015年初,OS X El Capitan,正在成像的分区为75GB。

使用FTK命令行相对于dd有一些明显的优势。有压缩镜像、选择e01格式和提供案例信息的选项。但是,如果时间和速度是问题,dd可能是更好的选择。例如,我在现场时需要成像10台Mac - 使用dd很好,这样我们可以按时完成去吃晚餐。如果您可以让镜像运行过夜 - 可能就不那么关键。查看下面的测试数据:

FTK Imager:总成像时间1小时49分04秒:

dd镜像带md5:15分钟

请注意 - 这个测试绝不是广泛的(不像Eric Zimmerman最近对一些取证软件的测试)。我使用两种方法创建了几个镜像,上面列出的成像时间大致相同。

第一步是运行diskutil查看磁盘布局并确定要成像的内容。我喜欢在插入外部USB之前这样做。这样可以更容易地看到需要成像的驱动器。

1

diskutil list

无FileVault2/无加密

我的系统同时安装了OS X和Windows(Bootcamp)。如您所见,/dev/disk0是我的物理驱动器。分区2是Macintosh HD,分区4是Windows aka Bootcamp分区。我想要成像的逻辑活动设备是/dev/disk1。如上面的截图所示,它被列为逻辑未加密卷,并指回disk0s2。(如果您遇到带有Bootcamp的系统,您可能也想获取该分区,但为了本文的目的,我专注于Mac分区)

下面是同一系统打开FileVault2后的截图。注意它显示"Unlocked Encrypted"。在这种情况下,/dev/disk1是我想要成像的逻辑卷。

每个/dev/disk都有一个对应的/dev/rdisk:

rdisk应该比/dev/disk更快。因此,我们将在dd命令中使用/dev/rdisk1而不是/dev/disk1。

现在是插入将保存镜像的外部驱动器的好时机。在我的系统上,它自动挂载在/Volumes/<设备名称>下

对于dd,我将使用Forensic Wiki Page建议的语法。语法看起来像这样:

1

sudo dd if=/dev/rdisk1 bs=4k conv=sync,noerror of=/Volumes/MAC-Images/my_image.dd

让我们分解这个命令:

  • sudo:以超级用户身份运行
  • if=/dev/rdisk1:这代表输入文件。这将是需要成像的磁盘
  • bs=4k:这是创建镜像时使用的块大小。Forensic Wiki推荐4k
  • conv=sync,noerror:如果有错误,用null填充块的其余部分;不要出错

更好的是 - 让我们添加一个MD5,这样我们可以有镜像的哈希值,使其更"取证"。为了做到这一点:

1

dd if=/dev/rdisk1 bs=4k conv=sync,noerror | tee /Volumes/MAC-Images/my-image.dd | md5 > /Volumes/MAC-Images/my-image-md5.txt

根据取证wiki:

“上述替代成像命令使用dd读取正在成像的硬盘,并将数据输出到tee。tee保存数据的副本作为您的镜像文件,并将数据的副本输出到md5sum。md5sum计算哈希值,该值保存在mybgifile.md中”

尽量不要像我那样输错密码…

就是这样!无论您使用哪种工具,祝成像愉快。

评论

Anonymous 2016年9月23日上午6:58 很棒的文章,我喜欢看到这样的内容!我刚刚发现您的博客和您一直在做的系列。您对Macquisition做过速度测试吗?另外,我有点难以理解,但您所做的是在启动到单用户模式时解锁加密分区并成像到外部硬盘驱动器,对吗?如果是这样,您成像的外部硬盘驱动器的规格是什么,接口是USB 3.1吗?

Mari DeGrazia 2016年9月23日上午7:29 感谢这些好问题。我没有对Macquisition进行任何速度测试,因为我没有访问该软件的权限。您是正确的 - 当用户/检查员登录系统时,分区被解密并呈现(在此示例中)为/dev/disk1。我之前提供给505forensics的链接很好地解释了这一点。外部硬盘驱动器是西部数据My Passport Ultra,格式化为HFS+,根据规格,USB接口是"USB 3端口(最高5 Gbps)"。另外,您提到了单用户模式 - 这个术语实际上指的是我在另一篇博客文章中涵盖的特殊模式(http://az4n6.blogspot.com/2016/07/how-to-image-mac-using-single-user-mode.html),但概念是相同的。当您使用COMMAND-S启动到单用户模式并提供用户名和密码时,分区以未加密状态挂载。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次