重大突破业内首家| 支持APFS、Mac OS10.13离线取证

A+

所属分类：mac软件下载

摘要

图2 Mac OS10.13磁盘工具传统的文件系统一般创建在一个具有独立空间的卷或者分区上,文件系统对于卷内的空间是独占的,不会被…

👍推薦: apple music免費試用3個月! 手慢无

前言

APFS作为苹果公司最新发布的文件系统，它的出现在给众多苹果用户带来更好的体验的同时，也给取证厂商们带来了巨大的挑战。美亚柏科作为电子数据取证的龙头企业，在过去的几个月时间里对APFS文件系统进行深入的研究，取得了突破性进展。

目前，相关成果已经集成到了取证大师产品上，正处于测试阶段。成为了业内首款支持APFS文件系统离线取证的产品，同时也是首家支持Mac OS10.13离线取证的产品。

一

研究背景

2016年6月14日，苹果在 WWDC 上正式宣布了全新的文件格式——Apple File System（苹果文件系统，简称 APFS），用来取代沿用了30多年的HFS/HFS+。根据相关文档介绍，APFS主要的设计特点包括：

针对闪存/SSD 存储进行了优化
提供了更强大的加密
写入时复制（Copy-on-write）元数据
空间分享
文件和目录克隆、快照、目录大小快速调整
原子级安全存储基元
改进的文件系统底层技术

重大突破业内首家| 支持APFS、Mac OS10.13离线取证

图1 苹果使用APFS的相关产品

从APFS的设计特点来看比HFS+先进很多，除了处理速度变快外安全性也提升了不少。据苹果公司介绍，APFS将通用于其iOS、Mac OS、watchOS和tvOS，2017年3月28日正式发布的iOS 10.3以及2017年6月6日正式发布的Mac OS10.13两个系统版本文件系统已经全面切换成APFS。

一个比较直观的体验是当你的iOS系统升级到10.3版本或者Mac OS系统升级到10.13版本时，你会发现打开应用、切换后台应用时比之前流畅了不少，磁盘可用空间也变大了，这就是得益于这个新的文件系统。可以预见APFS在不久的将来将全面取代HFS+文件系统，成为苹果操作系统上新一代主流的文件系统。

二

APFS文件系统格式介绍

当Mac OS系统版本升级至10.13时，打开磁盘工具，查看系统磁盘的文件系统格式就会发现文件系统类型变成了APFS（如图2），新接入的硬盘也可以抹掉格式化成APFS文件系统。

重大突破业内首家| 支持APFS、Mac OS10.13离线取证图2 Mac OS10.13磁盘工具

传统的文件系统一般创建在一个具有独立空间的卷或者分区上，文件系统对于卷内的空间是独占的，不会被其他的文件系统使用。而APFS颠覆了传统文件系统的做法，多个APFS文件系统可以共用一个磁盘空间，每个文件系统可以使用相同的磁盘空间，这些文件系统被管理在一个“容器”内。

APFS的空间最小分配单位为块，每个块包含4096个字节，元数据以及数据都以块的方式进行存储。

整体结构布局如图2所示：

重大突破业内首家| 支持APFS、Mac OS10.13离线取证图3 APFS整体布局

"容器"超级块：记录了空间管理节点、映射树信息节点以及APFS文件系统超块列表的位置等信息；
空间管理节点：记录了分配信息节点的位置信息；
分配信息节点：记录了空间分配表的位置信息，通过空间分配表可以知道哪些块被占用哪些块空闲；
映射树信息节点：APFS文件系统内元数据间的位置信息是通过块号给出的，但这些并不是物理块号，仅仅是逻辑块号。真正的物理块号要通过映射产生，映射树信息记录了如何找到映射关系的关键信息；
映射根节点：B+树的根节点，叶子节点存储了逻辑块号和物理块号的映射关系；
APFS超级块：每个APFS文件系统都有一个超级块信息，记录了块大小、映射树信息节点位置、目录树根节点位置等信息；
目录树根节点：B+树的根节点，叶子节点存储了文件/文件夹的名称、大小、时间、加密属性、压缩属性等信息。