本站小編為你精心準備了繞過操作系統(tǒng)密碼的取證方法探討參考范文，愿這些范文能點燃您思維的火花，激發(fā)您的寫作靈感。歡迎深入閱讀并收藏。

《密碼學(xué)報》2008年第1期

摘要：隨著蘋果電腦的普及，取證分析中很多情況下要考慮MacOS的取證，如果被取證的Mac系統(tǒng)設(shè)置了登錄密碼，那么取證過程中就要想辦法繞過登錄密碼，取得管理員權(quán)限。本文主要介紹了繞過MacOS系統(tǒng)登錄密碼的原理，介紹了HFS+文件系統(tǒng)的卷結(jié)構(gòu)，深入剖析了HFS+文件系統(tǒng)卷頭結(jié)構(gòu)，元數(shù)據(jù)文件以及節(jié)點結(jié)構(gòu)。研究了B-樹的遍歷過程。然后對如何在取證系統(tǒng)中實現(xiàn)進行了詳細的分析。

關(guān)鍵詞：蘋果系統(tǒng)；取證；密碼重置；HFS+文件系統(tǒng)；B樹

0引言

蘋果系統(tǒng)界面獨特，安全性較高，使其越來越受到大眾的歡迎，在美國蘋果筆記本的市場占有率已經(jīng)超過了windows，在中國很多消費者也選擇蘋果電腦作為其工作和學(xué)習(xí)的首選。因此，對于取證工作來說，蘋果系統(tǒng)的取證分析也十分必要。本文以MacOSX為例子，探討重置MacOSX的開機密碼的可行性，方法。利用解析MacOSX的文件系統(tǒng)HFS+找到/var/db/.AppleSetupDone文件并破壞該文件，從而實現(xiàn)系統(tǒng)管理員自動失效，進而重啟系統(tǒng)，重建管理員實現(xiàn)密碼重置。

1MacOSX系統(tǒng)

1.1MacOSX系統(tǒng)簡介

MaxOSX，這是一個基于UNIX核心的系統(tǒng)，增強了系統(tǒng)的穩(wěn)定性、性能以及響應(yīng)能力。它能通過對稱多處理技術(shù)充分發(fā)揮雙處理器的優(yōu)勢，提供無與倫比的2D、3D和多媒體圖形性能以及廣泛的字體支持和集成的PDA功能。MacOSX通過Classic環(huán)境幾乎可以支持所有的MacOS9應(yīng)用程序，直觀的Aqua用戶界面使MACintosh的易用性又達到了一個全新的水平。

1.2MacOSX系統(tǒng)破解步驟

在取證過程中，取證工作者拿到的往往是鏡像文件或者整個磁盤，上述破解方法無法直接使用。而是需要取證工作者手動mount鏡像或者磁盤，解析HFS+文件系統(tǒng)，將文件系統(tǒng)的元數(shù)據(jù)全部讀取出來，HFS+文件系統(tǒng)的元數(shù)據(jù)組織形式是B-樹，通過中序遍歷的方式得到所有文件，然后將遍歷所得的文件構(gòu)建成目錄樹，找到/var/db/.AppleSetupDone文件的元數(shù)據(jù)，破壞該文件的元數(shù)據(jù)，比如將文件名改為.AppleSetupNotDone，實現(xiàn)破解。HFS+文件系統(tǒng)解析：文件系統(tǒng)除了讓用戶供穩(wěn)定地存放文件這一目標以外，還是各項操作系統(tǒng)功能的基礎(chǔ)。MacOSX每個大發(fā)行版都要增加數(shù)百項新功能，許多新功能嚴重依賴于文件系統(tǒng)的實現(xiàn)。MacOSX10.3提供了FileVault來加密用戶文件，因此用戶主目錄被保存在一個HFS+文件系統(tǒng)加密鏡像中。HFS+卷的磁盤布局為：開頭1024字節(jié)保留，緊跟在后面的一個扇區(qū)被稱為VolumeHeader扇區(qū)，后面為元數(shù)據(jù)區(qū)，共5個文件，分別為分配文件(AllocationFile)，盤區(qū)溢出文件(ExtentsOverflowFile)，目錄文件(CatalogFile)，屬性文件(AttributeFile)和啟動文件(StartupFile)，剩余的為用戶數(shù)據(jù)區(qū)，最后兩個扇區(qū)為VolumeHeader備份和512字節(jié)的保留空間。卷頭前面以及卷頭備份后面的保留區(qū)雖然沒有數(shù)據(jù)，但是在分配文件中被標記為已使用，用于保護卷頭和備份卷頭，5種元數(shù)據(jù)文件并非連續(xù)存放，而是分別存放在用戶數(shù)據(jù)區(qū)的不同位置。

2頭節(jié)點

無論是目錄文件還是域溢出文件，它們的第一個節(jié)點一定是頭節(jié)點。

3結(jié)語

本文主要介紹了在MacOS取證過程中繞過密碼的方法，在MacOS系統(tǒng)使用越來越廣泛的今天，對密碼的破解工作顯得越來越有意義，本文針對MacOSX系統(tǒng)做了一些嘗試和論證，得出了一些方法和結(jié)論，但是對于取證工作來說單純的通過破壞登錄文件來實現(xiàn)破解遠遠不夠，例如對于同為蘋果公司的使用非常廣泛的iphone也使用了HFS+文件系統(tǒng)，但是iphone的HFS+文件系統(tǒng)是加密的無法直接拿到文件系統(tǒng)的元數(shù)據(jù)，對于這一課題還有很多問題需要解決。

作者：吳彬1；趙鍇1；于士超2 單位：1.上海市公安局，2.盤石軟件(上海)有限公司