Macbook Pro 2016硬盘固定方法谈

【案情简介】
最近我所(盘石软件计算机司法鉴定所)接到一起委托,其中包含了一台带TouchBar的MacBook Pro,委托方要求对该笔记本进行证据固定分析。由于之前我们未碰到过该型号笔记本的证据固定,我所鉴定人员查找各类资料,并在测试机器上进行了测试,摸索出一套行之有效的证据固定的方法,以飨读者。
 
【MacBookPro 2016】
苹果公司发布带Touch Bar的全新Macbook Pro(2016款)笔记本电脑产品,这款产品最大的亮点,就是在传统电脑键盘Fn功能键的位置,替换了一个支持多点触控,并拥有Retina分辨率可自定义功能的屏幕,苹果公司把这一屏幕区取名为Touch Bar。



                                                                                       图1 - MacBook Pro 2016
【MBP2016的SSD】
苹果公司自2015款MBA后全面用 PCIE 通道取代 2012 款Retina MBP 之后的 SATA 通道。通过直连 CPU、加大带宽,最大程度释放 SSD 性能。因此MBP2016的SSD号称是“目前世界最快的SSD”。
 
此外根据媒体拆解报告,此次MBP2016的Touch Bar版本直接将SSD板载,因此跟之前将内存板载一样,无法购买SSD进行升级,对于取证人员来说,就意味着如果通过拆下SSD硬盘来进行离线复制。
 
【第一个需要解决的问题:开盖自动启动】
根据小密圈网站的“好学不倦”圈子的文章介绍,新MBP有一个重要的特点:MacBook 2016打开上盖自动开机问题(https://wx.xiaomiquan.com/dweb/#/index/481841821848),文章中提到:
 
苹果公司在新一代MacBookPro的机器上做了一些调整,可能由于增加Touchbar,担心很多用户找不到原来的开机按钮,因此在2016款 MacBook Pro 开始增加了自动开机功能,当我们打开上盖时,MacBook Pro 会自动开机。
 
除了打开上盖外,全新 MacBook Pro 还会在下面这几种情况下自动开机......
 
文章也给出了解决方法:
命令行设置:(需要从MacOSX系统中打开终端,然后输入以下命令进行设置)
sudonvram AutoBoot=%00 (关闭自动开机设置)
 
这个方法的最大问题是,需要登录进入macOS才能进行操作。对于一台作为取证对象的MBP 2016,就显得不很合适。
经过我们的研究探索,发现这个问题可以通过以下方式解决:
准备macOS的启动U盘(注意:目前必须macOS Sierra(10.12),之前版本如macOS EI Captain无法启动),制作方式请参考网上教程,在此不赘述。
连接U盘到主机,如下图:

                                                                                         图2 - 连接示意图
                                                                 (注意:第一次连接时,不要打开上盖)
 
打开上盖的一瞬间,按住Option键(同其他型号一样,会进入启动选项菜单)

 
选择刚做好的U盘(一个黄色的图标)进行启动。
 
出现“macOS实用工具”对话框后,在上面菜单选择“终端”



图3 - macOS实用工具对话框
 
 6. 在终端界面,输入nvram AutoBoot=%00(注意:没有sudo):

图4 - 清除开盖自动运行
 
7. 这样的话,关机后再打开上盖,就不会自动开机,而是需要人工开机(开机按钮为TouchBar最右边的方块按钮)
 
 
【如何证据固定】
鉴于我们开发的SafeImager For Mac(https://www.pansafe.com/a/products/pingguoquzhengxilie/2016/0503/37.html)最新的升级已经支持大多数macOS系统的启动,我们就拿我们的SI for Mac进行了启动,系统可以顺利进入获取界面,但是无法识别到内置的SSD。


图5 - SafeImager For Mac
 
我们然后又下载了最新版本的Ubuntu、Kali Linux和BackBox Linux进行了测试,均可以启动,但是无法识别内置的SSD。
我们查了很多网页,很沮丧的发现到目前为止,Linux内核似乎无法识别MBP2016内置的SSD。获取进入了死胡同。
 
【柳暗花明】
我们重新使用macOS的启动U盘启动MBP,进入“macOS实用工具”对话框。选择“磁盘工具”,如下图:


图6 - 磁盘工具对话框
 
我们注意到内置硬盘的分区(上图红框)未自动加载,因此我们可以考虑使用内置dd命令来进行固定。
 
【步骤】
如“图 2连接示意图(注意:第一次连接时,不要打开上盖)”那样连接好移动硬盘、macOS Sierra启动U盘和电源。
按下电源,按住Option键(如果未清除开盖启动,则打开上盖的瞬间按住Option键),选择macOS的U盘启动
进入“macOS实用工具”对话框,选择“磁盘工具“,对外置移动硬盘进行格式化,注意,这里应该格式化为ExFAT或者“Mac OS Extended(Journaled)“,推荐使用ExFAT。这里我们使用的是“Mac OS Extended(Journaled)“,同时记录下卷的名称(这里是“Image”)



图7 - 格式化外置移动硬盘
 
   4. 格式化完成后,退出磁盘工具,选择“终端”。可以使用“diskutil list”命令查看一下磁盘状态:

                                            图8 - 查看磁盘状态,注意内置硬盘是/dev/disk0(红框处)



图9 - 查看磁盘状态。注意外置硬盘是/dev/disk21(红框处)
 
我们注意到外置移动硬盘是disk21,而不是disk1。此外目标卷的卷名是“Image”(绿框处)
 
  5. 现在我们切换目录到/Volumes/Image,使用dd命令进行固定。如图:


                                                                                         图10 - 进行dd操作


                                                                  图11 - 固定过程中查看文件信息
 
【总结】
本文针对新一代MacBook Pro给出了取证时需要注意的问题和解决方法,这个方法经过我们测试确实有效。
 
我们进行取证工作时,经常会遇到新的硬件和软件需要进行调查,而手头现成的取证工具都不能提供支持。这时候一方面需要有效利用互联网这个“终极”工具来获得必要的信息,同时可以基于已有的经验,大胆推测,小心验证,找到方法。



Copyright © 2002-2017 - 盘石软件(上海)有限公司 版权所有 沪ICP备11022836
返回顶部