為什麼使用 Digital Collector 提取 T2 Mac 電腦

2021-5-11 by 高田鑑識

邏輯提取缺乏的重要資訊

對大部分的鑑識同仁,可能覺得針對 T2 Macs 電腦使用「邏輯」提取已可滿足資料蒐集的需求。但事實上,對於 2017 年之後出廠的 Mac 電腦,Cellebrite 持續提升取證能力並尋求最符合科學鑑識的「物理」提取方式。

若尚未使用最新版本的 Cellebrite Digital Collector,提取過程 Mac 檔案系統可能會刻意的忽略一些重要資訊。因 Mac 檔案系統對資料有極高的保護,而產生「邏輯」映像檔是透過檔案系統,它並不會也不願輕易地交出儲存空間內所有的重要資料。

重要的資料包括如下

  • 在 APFS 「Free Queue」內的資料:Free Queue 為檔案系統中已分配的區塊(Allocated Blocks),但尚未被系統引用。因此,該區塊的內容無法使用邏輯方式提取。
  • 無資料快照 – Dataless Snaptshots:APFS 使用類似於 Windows 中的磁碟區陰影複製(Volume Shadow Copy),稱為「APFS 快照」。 不太為人所知的是,有時它們有時可能是無法掛載的「無資料快照」,APFS 並沒有將其包含在邏輯提取的一部分。 經由 Cellebrite 的測試證明,可以從「無資料快照 」中恢復成千上萬的檔案,甚至包含整個 iPhone 的備份檔案
  • 未配置空間的資料(Unallocated Space):如果用戶確定 T2 加密晶片的保護已足夠,並且關閉 FileVault 2,則即使在啟用了 TRIM 的 SSD 固態硬碟上,來自 APFS 容器中尚未配置空間(稱為“Shared Pooled Space”)的資料也可以恢復。 使用邏輯提取的方式,檔案系統不會包含該資料。
  • 檔案剩餘空間(File Slack):檔案剩餘空間仍可以包含與調查相關的資料。 用戶可以使用特殊工具(如 bmap)在檔案末端與該檔案區塊末端之間的未使用空間來隱藏資料。如果從 T2 晶片的 Mac 上採用邏輯提取,這些數據則不會被取得。

圖一、傳統硬碟 File Slack 說明

Cellebrite Digital Collector 可以讓鑑識人員取得一份解密的物理映像檔,這是針對 T2 加密晶片的 Mac 市場上可提供的最完整取證工具。 在Cellebrite Digital Collector 2019 R1 發布之前,邏輯提取是唯一的選擇。 上面所列出的項目無法透過一般方式提取,但使用 Cellebrite Digital Collector 提取的解密物理映像檔,可完整包含以上項目。