技术分享——Mac OS 取证信息源
macOS是类 UNIX操作系统,所以从取证角度上与Windows有很大的不同,与UNIX/Linux操作系统的取证存在一些相似点,但作为图形用户界面的操作系统,其与一般用于服务器中时命令行界面的UNIX/Linux操作系统取证操作又有很多差异。
从文件系统目录结构看,macOS一部分目录是UNIX通用目录,如/bin(UNIX命令存放目录)、/sbin(UNIX系统管理类命令存放目录)、/usit(第三方程序安装目录)、/dev(设备文件存放目录)、/etc(系统配置文件存放目录)、/tmp(临时文件存放目录)、/var(存放经常变化的文件)。其中,/etc、/tmp、/var目录在取证中是需要重点关注的地方,此3个目录实际上分别为指向/private/etc、/private/tmp和/private/var的链接。
macOS还有一部分目录是其特有的目录,从概念上讲,包括User 域(Domain)、Local域、Network域、Syetem域等,
User域包含特定用户的资源,是用户的主目录。本地主目录的位置为“IUsers/用户名/”(注:用户名不同,位置也不同。若用户名为bob,则主目录位置为/Users/bobl,下同)。若为网络用户,则主目录的位置为“/Network/Users/用户名/”。用户主目录存有用户的个人资料和配置,在取证中是需要重点关注的地方。该目录下几个常见的标准目录是取证时的重要信息资源,如Trash、Applications、Desktop、Documents、Library、Movies、Music、PicturesSites等。
产品咨询
技术工程师
贺 佳:13908073212
王高阳:18513400125
微信助手
关于我们
北京天宇宁达科技有限公司创建于 2016 年,前身为 2009 年的北京天宇宁科技有限公司。历经十余年的发展与积累,天宇宁达已成为国内电子数据取证行业卓越领先的产品与解决方案供应商,同时也是国内知名的电子数据专业取证服务与培训机构。