摘要: Time Machine是MacOS系统中的一个自动数据备份工具.Mac用户可以通过USB接口移动硬盘、火线接口移动硬盘、雷电接口移动硬盘、Time Capsule等设备对自己的程序和数据进行不断的备份.特别是在调查和案件中,调查人员应该对采用WiFi无线网络进行数据备份的Time Capsule硬盘、网络硬盘重点关注.一个Time Machine备份硬盘能够保存多个用户的备份数据,也可以保存几十台计算机的备份数据,更可能从备份数据中找到用户在Mac 系统中已经删除或擦除的数据,因此案件中能够识别并发现Time Machine备份硬盘,并进一步成功解析备份数据,有可能是案件侦破的突破口.重点针对Time Machine备份方法、存储格式,以及对Time Machine备份数据的解析方法进行探讨.