学习并掌握计算机的取证与分析之法,首先应当对苹果计算机具备一个整体性、全方位的认知,需明晰计算机与常用的 Windows 计算机存在何种差异?而这些差异又对取证分析产生了哪些影响。唯有全面了解计算机以及 macOS 操作系统,方可采用恰当的方法,运用正确的工具来完成对计算机的取证和分析,获取全面的分析成果。

第一部分:计算机概述

  1. 家族、设备类型以及计算机的发展历程
  2. 果 MacOS 操作系统
  3. 存储设备的类型

第二部分:计算机勘验

  1. 计算机——关机状态
  2. T2 加密和 FileVault
  3. 计算机——运行状态
  4. 连接中的加密存储设备

第三部分:系统数据格式和存储位置

  1. 计算机——关机状态
  2. 目录结构
  3. 办公软件和文件格式
  4. MacOS APP:邮件
  5. MacOS APP:照片
  6. MacOS APP:iMoive
  7. MacOS 三种虚拟机
  8. 连接过的移动终端
  9. iCloud 取证、钥匙圈和 FileVault 破解

第四部分:数据删除和废纸篓

  1. 数据删除之际发生了何事?
  2. 于何时,删除了何物?
  3. 何为.DB_Store,X-Ways 解析结果
  4. 学习运用 Python 脚本解析.DB_Store

CISAW电子数据取证方向,安全能力认证办理马老师135~2173~0416/133~9150~9126.

第五部分:时间和行为

  1. 能否信赖创建时间?添加时间与上次打开时间
  2. MacOS 时间规则总结,最近打开的文件和程序
  3. 最近访问的服务器
  4. 最近加载的磁盘