Cellebrite MacQuisition 的 SoftBlock 與 Target Disk Mode 介紹

2021-1-13 by 高田鑑識

Apple 提供一個方便的資料移轉功能,名稱為「目標磁碟模式」(Target Disk Mode – TDM),該功能可讓您輕鬆地將檔案件從一台電腦傳輸到另一台上。 隨著 Mac 的發展,TDM 連接選項也隨之擴充。 該功能最早推出時,僅能透過 Firewire 連線。

新版的 TDM 可透過 Thunderbolt 與 USB-C 連線。 當 Mac 開機進入 TDM 模式後,可連接至另一台 Mac 並被當作外接磁碟使用。

Cellebrite MacQuisition 的設計是可以直接開機後進入提取模式。 那麼為什麼還要透過 TDM 模式進行提取? 主要是在以下幾種特殊的情況下,需要藉由 TDM 模式才可提取資料。

  • 當提取有 T2 晶片的 Mac 電腦時,管理員帳密或無足夠權限更改安全啟動 (Secure Boot) 設定時。

  • Mac 硬體有損壞,例如螢幕無法顯示,鍵盤或 USB 介面故障。

  • 無法使用Cellebrite MacQuisition 開機 Mac 電腦,因為所使用的 MacQuisition 版本不支持該電腦型號。

如果遇到以上任何情況,下一個選項是藉由 TDM 模式,將 Mac 連接到另一台執行 Cellebrite MacQuisition 的取證系統以進行資料提取。

請參照以下流程開機進到 TDM 模式

  1. 先將 Mac 開機。
  2. 按住<option/Alt> 鍵,直到 Start-Up Manager 畫面出現(這步驟確保 Firmware 是否有密碼保護)。
  3. 按住 鍵,直到 TDM 的符號出現在螢幕上。

根據 Mac 的型號不同,會出現的符號,既傳輸介面也不同,共有以下四個方式:

Thunderbolt 3 (USB-C)

傳輸速率:40 Gb/s

Thunderbolt 2

傳輸速率:20 Gb/s

FireWire

最高傳輸速率:800 Mb/s

USB-C

採 Thunderbolt 傳輸

有關使用正確得傳輸線材連接 Mac 的資訊,請參考 Apple 提供的「Target Disk Mode」文章。

請注意,TDM 模式是為了向 Mac 傳輸或從 Mac 拉取檔案。 因此,TDM 本身不提供任何寫入保護(Write-Blocking)功能,若要確保提取過程符合鑑識科學,可採用硬體 Write-Block 產品。

而 Cellebrite 的 SoftBlock 提供了更簡單的解決方案。 SoftBlock 是軟體防寫入的程式,僅可在 macOS 上運行。 將該軟體安裝在執行取證的主機上,可以保護所連接的任何設備(包括 TDM 模式設備)上的資料完整性。

圖一、將另一台 TDM 模式下的 Mac Mount 為 Read-Only

新一代 M1 晶片採用「Mac Sharing Mode」

M1 不再支援 TDM 模式,新版功能名稱為 Mac Sharing Mode。透過此模式可讓兩台 Mac 互相傳輸檔案。傳輸規格支援 USB, USB-C 與 Thunderbolt。