苹果取证三大挑战—挑战二：T2和M1芯片的安全性｜弘德网

挑战NO.2

T2和M1芯片的安全性

针对没有使用T2和M1芯片的苹果设备镜像取证最主要的问题就是用户采用了FileVault2加密，一种全盘加密程序。使用了FileVault2加密会给取证人员带来非常大的困难。没有T2和M1芯片的设备意味着没有硬件加密，也就意味着取证人员可以有更多的技术手段提取苹果计算机设备数据。但是，如果FileVault2密码或恢复秘钥无法使用，在线取证就是唯一能够采用的方法。

使用在线取证可以获取到部分文件类数据和元数据，但是会丢失很多信息。采取物理提取的方式则能够获取到很多额外的数据，如：

1. 文件松弛区

2. 文件属性

3. 原始数据块

4. 全部APFS快照

解决方案：

通过支持苹果计算机系统综合取证分析的软件如FTK，可以帮助取证人员访问系统数据（用户，磁盘分区等），用户文件（聊天，邮件，桌面信息，网页数据等），以及系统文件（日志，操作系统信息等）。通过物理方式提取数据可以得到比逻辑方式更多的证据。