Cellebrite MacQuisition 的 SoftBlock 與 Target Disk Mode 介紹
2021-1-13 by 高田鑑識
Apple 提供一個方便的資料移轉功能,名稱為「目標磁碟模式」(Target Disk Mode – TDM),該功能可讓您輕鬆地將檔案件從一台電腦傳輸到另一台上。 隨著 Mac 的發展,TDM 連接選項也隨之擴充。 該功能最早推出時,僅能透過 Firewire 連線。
新版的 TDM 可透過 Thunderbolt 與 USB-C 連線。 當 Mac 開機進入 TDM 模式後,可連接至另一台 Mac 並被當作外接磁碟使用。
Cellebrite MacQuisition 的設計是可以直接開機後進入提取模式。 那麼為什麼還要透過 TDM 模式進行提取? 主要是在以下幾種特殊的情況下,需要藉由 TDM 模式才可提取資料。
當提取有 T2 晶片的 Mac 電腦時,管理員帳密或無足夠權限更改安全啟動 (Secure Boot) 設定時。
Mac 硬體有損壞,例如螢幕無法顯示,鍵盤或 USB 介面故障。
無法使用Cellebrite MacQuisition 開機 Mac 電腦,因為所使用的 MacQuisition 版本不支持該電腦型號。
如果遇到以上任何情況,下一個選項是藉由 TDM 模式,將 Mac 連接到另一台執行 Cellebrite MacQuisition 的取證系統以進行資料提取。
請參照以下流程開機進到 TDM 模式
- 先將 Mac 開機。
- 按住<option/Alt> 鍵,直到 Start-Up Manager 畫面出現(這步驟確保 Firmware 是否有密碼保護)。
- 按住 鍵,直到 TDM 的符號出現在螢幕上。
根據 Mac 的型號不同,會出現的符號,既傳輸介面也不同,共有以下四個方式:
有關使用正確得傳輸線材連接 Mac 的資訊,請參考 Apple 提供的「Target Disk Mode」文章。
請注意,TDM 模式是為了向 Mac 傳輸或從 Mac 拉取檔案。 因此,TDM 本身不提供任何寫入保護(Write-Blocking)功能,若要確保提取過程符合鑑識科學,可採用硬體 Write-Block 產品。
而 Cellebrite 的 SoftBlock 提供了更簡單的解決方案。 SoftBlock 是軟體防寫入的程式,僅可在 macOS 上運行。 將該軟體安裝在執行取證的主機上,可以保護所連接的任何設備(包括 TDM 模式設備)上的資料完整性。
圖一、將另一台 TDM 模式下的 Mac Mount 為 Read-Only
