麦克雷 Mavom.cn

标题: APFS文件系统科普贴 [打印本页]

作者: 艾的民 时间: 2022-11-19 09:55
标题: APFS文件系统科普贴
APFS文件系统科普贴

作者: OVERLOAD 时间: 2022-11-19 09:56
以下所有文字描述及截图均基于macOS10.13.6(17G65)

4.APFS的FileVault加密
HFS+ 没有原生的加密支持。为了达到数据的安全性，HFS+ 卷采用 CoreStorage 加密层进行包裹。CoreStorage 是一个逻辑卷管理系统，可以在数据块层次对卷中的数据进行加密。当我们对CoreStorage 中的加密卷进行“解锁”的时候，会生成一个新的逻辑卷设备，其中包含整个已解密的文件系统，包括卷中以连续块方式存在的未分配空间。如果我们对这个逻辑设备进行镜像，就会得到接加密卷的所有处于解密状态的块数据（包括未分配的数据块）。
APFS 在文件系统级别对数据进行加密。以卷为单位进行加密。“解锁” APFS 卷也不会生成特殊的处于解密状态的块设备。所以取证分析工具必须能够提供APFS卷的解密能力，而且在FileVault加密开启的情况，一定需要对目标设备做全盘镜像。

欢迎光临麦克雷 Mavom.cn (http://www.mavom.cn/)