HFS+删除文件恢复技术

随着MAC OS的广泛使用,MAC OS的取证技术得到了取证专家的高度重视。删除文件恢复技术一直是取证技术中的一项重要内容,HFS+文件系统作为目前MAC OS的主流文件系统,其删除文件的恢复技术更是数据恢复专家研究的重点。目前,HFS+删除文件的恢复主要是日志型数据的恢复,即基于日志中存储的B树中的叶子节点信息进行恢复。该方法具有快速、精确的特点。但是,该方法忽略了日志中存储的索引节点信息,因此恢复效果不是很理想。文章提出了一种快速、精确的HFS+删除文件的恢复技术,该技术不仅可以快速地恢复出被删除的文件,并且和现有的从日志中进行恢复的算法相比还可以恢复出更多的删除文件。

绕过MacOS密码的取证方法探讨

随着苹果电脑的普及,取证分析中很多情况下要考虑Mac OS的取证,如果被取证的Mac系统设置了登录密码,那么取证过程中就要想办法绕过登录密码,取得管理员权限。本文主要介绍了绕过Mac OS系统登录密码的原理,介绍了HFS+文件系统的卷结构,深入剖析了HFS+文件系统卷头结构,元数据文件以及节点结构。研究了B-树的遍历过程。然后对如何在取证系统中实现进行了详细的分析。