从取证角度解读MacOS系统Time Machine 备份数据

信息安全研究 ›› 2016, Vol. 2 ›› Issue (4): 307-316.

从取证角度解读MacOS系统Time Machine 备份数据

郭永健

北京天宇宁达科技有限公司技术部

收稿日期:2016-04-14 出版日期:2016-04-15 发布日期:2016-04-14
通讯作者: 郭永健
作者简介:本科，高级工程师，主要研究方向为电子数据取证、MacOS取证分析、电子数据司法鉴定. sprite@cflab.cn

Time Machine Forensic

Received:2016-04-14 Online:2016-04-15 Published:2016-04-14

摘要/Abstract

摘要： Time Machine是MacOS系统中的一个自动数据备份工具.Mac用户可以通过USB接口移动硬盘、火线接口移动硬盘、雷电接口移动硬盘、Time Capsule等设备对自己的程序和数据进行不断的备份.特别是在调查和案件中，调查人员应该对采用WiFi无线网络进行数据备份的Time Capsule硬盘、网络硬盘重点关注.一个Time Machine备份硬盘能够保存多个用户的备份数据，也可以保存几十台计算机的备份数据，更可能从备份数据中找到用户在Mac 系统中已经删除或擦除的数据，因此案件中能够识别并发现Time Machine备份硬盘，并进一步成功解析备份数据，有可能是案件侦破的突破口.重点针对Time Machine备份方法、存储格式，以及对Time Machine备份数据的解析方法进行探讨.

关键词: MacOS系统, Time Machine备份软件, Time Capsule备份设备, 取证, 备份

Abstract: Time Machine is an automatic data backup tool in Mac OS. Mac users can backup their important programs and data continuously with different kinds of removable disk, such as USB removable hard disk, Firewire hard disk, Thunderbolt hard disk, Time Capsule. Especially in investigations and cases, it is important for investigators to find out if there are any backup storages in a WiFi network. A single Time Machine storage can save multiple users backup data, or even several Mac computers backup data. The normal deleted data in a Mac can even be foundrecovered from Time Machine backup. The important breakthrough may be from a Time Capsule, and the analytical result of Time Machine backup. This article will discuss Time Machine, backup storage, folder structure, and how to make forensics analysis manually and automatically.

Key words: MacOS, Time Machine, Time Capsule, forensic, backup

郭永健. 从取证角度解读MacOS系统Time Machine 备份数据[J]. 信息安全研究, 2016, 2(4): 307-316.

[1]	王传合赵利军. 等保2.0下的移动警务数据安全技术应用探究[J]. 信息安全研究, 2021, 7(2): 178-183.
[2]	雷丹丽黄相升向大为. 数字化背景下网络贩毒的特点及侦查策略研究[J]. 信息安全研究, 2020, 6(2): 159-164.
[3]	雷丹丽李有娅孟硕飞黎湘向大为. 疫情期间网络诈骗犯罪案件的侦查与取证研究[J]. 信息安全研究, 2020, 6(11): 0-0.
[4]	江汉祥. 电子数据取证知识汇聚与共享的实现[J]. 信息安全研究, 2019, 5(12): 1101-1105.
[5]	刘鹏. 刑事司法实践中“电子数据”取证存在的问题及对策建议[J]. 信息安全研究, 2018, 4(3): 195-200.
[6]	张其前. 大数据取证技术综述[J]. 信息安全研究, 2017, 3(9): 795-802.
[7]	戴士剑. 从法律法规变迁谈《网络安全法》与电子数据[J]. 信息安全研究, 2017, 3(9): 846-859.
[8]	王波. 数字图像来源取证现状与趋势[J]. 信息安全研究, 2016, 2(6): 501-511.
[9]	郝万里. 电子数据取证技术综述[J]. 信息安全研究, 2016, 2(4): 299-306.
[10]	危蓉. 基于WinHex手机图片信息的恢复与取证[J]. 信息安全研究, 2016, 2(4): 328-332.
[11]	危蓉. 一种基于安卓系统的手机侧抓包分析方法[J]. 信息安全研究, 2016, 2(4): 339-342.
[12]	赵军红1 张卫强2 郑明慧3 张萌1 黄伟庆1. 多媒体技术在物理空间安全领域的应用与发展[J]. 信息安全研究, 2016, 2(2): 172-179.
[13]	孔祥维1) 王波1) 李晓龙2). 多媒体信息安全研究综述[J]. 信息安全研究, 2015, 1(1): 44-53.