Cellebrite MacQuisition
Mac 電腦取證流程概論

2021-1-15 by 高田鑑識

針對 Mac 電腦提取數位證據,依據所採用的取證映像檔 (Imaging) 工具的不同,提取的過程可能是一種焦慮的經驗,但也可以像「 1-2-3-START」簡單幾個步驟的輕鬆流程。 在嘗試進行系統的完整提取之前,必須確定一些事項。 以下是要考慮的內容:

    1. Mac 電腦的類型
      • 確認電腦的型號與序號
      • 是否為 T2 安全性晶片的型號
        • 若是,確認是否啟用了 SecureBoot 設定,以防止電腦可從外部裝置(磁碟)開機?
    2. 目標電腦所採用的檔案系統,是 HFS+ 或 APFS?
    3. 是否啟用 FileVault2 加密機制?
      • 若有,是否有 Admin 密碼或救援金鑰?
    4. 提取的模式為邏輯或物理?
    5. Mac 的所有者是否有啟用 Firmware 密碼保護?
    6. Mac 的檔案系統是否為 Fusion Driver?
    7. 是否需要提取 RAM 資料?

提取前針對上述問題若有一定的答案,對取證過程可更為順利。 Cellebrite MacQuisition 是針對 Mac 電腦取證的利器,啟用後可在目標電腦上自動偵測上述部分答案,如識別 Mac 是否安裝了 T2 安全晶片,採用的檔案系統,是否啟用了 FileVault2 以及是否啟用了 Firmware 密碼。

「開機」vs 「關機」狀態的提取差異說明

如同手機裝置取證,過往只要將電腦關機後即可物理提取數位證據的輕鬆日子已經一去不復返了。 隨著 FileVault2 加密技術的廣泛使用,鑑識人員必須在開機狀態下的 Mac 上盡量提取邏輯 (Logical) 資料,因為這可能是唯一一次可以輕鬆提取特定資料的機會。

在開機狀態下執行 Cellebrite MacQuisition 可立即識別 FileVault2 加密是否啟用。 一旦確定,鑑識人員需立即進行邏輯資料提取,尤其是在 FileVault2 密碼或救援金鑰未知的情況下。

Live 邏輯提取

當 Cellebrite MacQuisition Dongle 插入開機登入狀態下的目標電腦時,桌面上會出現多個卷宗 (Volume 的數量取決於目標電腦上正在運行的 macOS 版本)。 MacQuisition Dongle 上有兩個 Volume 的內容對於 Live 邏輯提取有重要關聯。

  • 「Application」卷宗內有執行 Cellebrite MacQuisition 的主程式。
  • 「MQData」卷宗用來儲存在目標電腦上提取的數位證據。鑑識人員可以另選擇將提取的資料儲存在別的地方。

要開始 Live 邏輯提取時,請藉由 Finder 開啟「Applicaiton」卷宗後,然後點擊 “MacQuisition”。 此時電腦會要求輸入管理員密碼。 如在不知道管理員密碼情況下,會顯示以下圖示,MacQuisition 將採受限制的方式執行。

圖一、無管理員密碼下的提示

接下來,如果 Cellebrite MacQuisition 偵測到 FileVault 2,將看到有關 FileVault 2 的視窗彈出。

圖二、偵測到FileVault 2 Full Disk Encryption 加密

點擊「繼續」後,將看到 Cellebrite MacQuisition 的程式,並可以輸入與案件相關的資訊以及 log 和報告所用的時區。

圖三、MacQuisition 主程式畫面

接著,可以選擇執行「Data Collection」(將特定的檔案與資料夾匯出到外接儲存媒體中或稀疏映像檔 – Sparse Image)或對電腦進行完整提取。

圖四、Data Collection 畫面

Cellebrite MacQuisition 中已有預設選了幾個資料來源,鑑識人員可以採用預設的選項或取消不必要的選項。 如果鑑識人員想要選擇額外的資料,右下角有一個「Select Files」按鈕。

物理提取

如果在頂部選擇了「Image Device」,則會看到如下視窗:

圖五、物理提取畫面

左邊列表主分類會列出實體磁碟,Cellebrite MacQuisition 將顯示 APFS 容器以及加密的卷宗(Volume – 以及它們是否已解鎖)。 選擇要提取的磁碟,然後選擇適當的映像檔案格式,映像切分的大小和 Hash。 以下是可供選擇的檔案格式和切割的檔案大小:

圖六、映像檔格式

圖七、映像檔案大小

註:若提取有 T2 安全性晶片的電腦,輸出的格式將限制為 AFF4。

在 Destination 下點選 + 符號,選擇映像檔儲存的位置。

要從開機狀態的 Mac 中提取 RAM 的資料,必須具有 root 權限。 如果 Mac 在登入使用者為「guest」,須從「cold」狀態下提取 RAM。

Cold Box 提取

顯然,大多數鑑識人員都希望對目標 Mac 儲存空間進行完整的物理提取,因可以提供最完整的資料,包括 APFS 快照。 鑑識人員可以使用兩種方法執行這種提取。

第一種是控制啟動方法(Startup Manager),需在開機時按住 「Option / Alt」 鍵再同時按下 POWER 鍵來進入, 然後根據目標 Mac 架構選擇合適的版本執行。

第二種方法是在目標磁碟模式(TDM)下提取。對於安裝了 T2 安全晶片的 Mac 電腦,建議使用此方法,該方法可以使鑑識人員無需更改 SecureBoot 設定即可進行物理提取。目標 Mac 在 TDM 模式時需透過 Write-Blocker 方式 (硬體或軟體) 連接到鑑識人員的取證電腦上,並執行 Cellebrite MacQuisition 程式,提取過程如上述的「Live 邏輯提取」中所述的過程相同。相關說明可以參考上一篇「Cellebrite MacQuisition 的 SoftBlock 與 Target Disk Mode 介紹」。

使用上述任何一種方法時,如果 Mac 電腦上已啟用 Firmware 密碼,則在此階段會有「上鎖」圖示來告知。 如果 Mac 電腦受到 Firmware 密碼保護,則必須通過法院程序要求 Apple 提供 Firmware 解鎖服務。

若 Mac 是屬於公司資產,IT 部門可能會有相關資料,可嘗試先與 IT 部門聯繫取得 Firmware 密碼。 Recovery 金鑰也是如此,因為大多數公司的 IT 部門都會在發給其員工的電腦上保留恢復金鑰的記錄。

FileVault2 密碼與 Recovery 金鑰列表

取得 Firmware、FileVault2 密碼或 Recovery 金鑰是必需的。但是什麼情況下會使用?可參考以下 FileVault2 密碼與 Recovery 金鑰列表:

圖八、FileVault2 密碼/ Recovery 金鑰參照表

注意:在使用 Bootcamp 和 Fusion 或 T2 晶片的電腦上,必須從 APFS 容器 (Container) 中另外提取 Bootcamp 分區。

輸出

一旦鑑識人員決定了使用哪種方法來提取目標 Mac(Control Boot 或 TDM)以及要收集的內容(邏輯或物理),下一步就是確認要儲存的檔案格式。

Cellebrite 建議提取的映像檔案格式與目標電腦採同一個檔案系統,但是在某些情況下,鑑識人員可能會選擇在 Windows 系統上進行資料分析。 對於物理提取,Cellebrite 採用了 Paragon© 驅動程式允許輸出為 NTFS 檔案系統。

儘管 Cellebrite MacQuisition 也支援輸出至 ExFat 格式,但是用於產生 ExFat 映像檔的驅動程式較為不穩定,故不建議這樣做。