本站小編為你精心準(zhǔn)備了繞過(guò)操作系統(tǒng)密碼的取證方法探討參考范文，愿這些范文能點(diǎn)燃您思維的火花，激發(fā)您的寫(xiě)作靈感。歡迎深入閱讀并收藏。

《密碼學(xué)報(bào)》2008年第1期

摘要：隨著蘋(píng)果電腦的普及，取證分析中很多情況下要考慮MacOS的取證，如果被取證的Mac系統(tǒng)設(shè)置了登錄密碼，那么取證過(guò)程中就要想辦法繞過(guò)登錄密碼，取得管理員權(quán)限。本文主要介紹了繞過(guò)MacOS系統(tǒng)登錄密碼的原理，介紹了HFS+文件系統(tǒng)的卷結(jié)構(gòu)，深入剖析了HFS+文件系統(tǒng)卷頭結(jié)構(gòu)，元數(shù)據(jù)文件以及節(jié)點(diǎn)結(jié)構(gòu)。研究了B-樹(shù)的遍歷過(guò)程。然后對(duì)如何在取證系統(tǒng)中實(shí)現(xiàn)進(jìn)行了詳細(xì)的分析。

關(guān)鍵詞：蘋(píng)果系統(tǒng)；取證；密碼重置；HFS+文件系統(tǒng)；B樹(shù)

0引言

蘋(píng)果系統(tǒng)界面獨(dú)特，安全性較高，使其越來(lái)越受到大眾的歡迎，在美國(guó)蘋(píng)果筆記本的市場(chǎng)占有率已經(jīng)超過(guò)了windows，在中國(guó)很多消費(fèi)者也選擇蘋(píng)果電腦作為其工作和學(xué)習(xí)的首選。因此，對(duì)于取證工作來(lái)說(shuō)，蘋(píng)果系統(tǒng)的取證分析也十分必要。本文以MacOSX為例子，探討重置MacOSX的開(kāi)機(jī)密碼的可行性，方法。利用解析MacOSX的文件系統(tǒng)HFS+找到/var/db/.AppleSetupDone文件并破壞該文件，從而實(shí)現(xiàn)系統(tǒng)管理員自動(dòng)失效，進(jìn)而重啟系統(tǒng)，重建管理員實(shí)現(xiàn)密碼重置。

1MacOSX系統(tǒng)

1.1MacOSX系統(tǒng)簡(jiǎn)介

MaxOSX，這是一個(gè)基于UNIX核心的系統(tǒng)，增強(qiáng)了系統(tǒng)的穩(wěn)定性、性能以及響應(yīng)能力。它能通過(guò)對(duì)稱(chēng)多處理技術(shù)充分發(fā)揮雙處理器的優(yōu)勢(shì)，提供無(wú)與倫比的2D、3D和多媒體圖形性能以及廣泛的字體支持和集成的PDA功能。MacOSX通過(guò)Classic環(huán)境幾乎可以支持所有的MacOS9應(yīng)用程序，直觀的Aqua用戶界面使MACintosh的易用性又達(dá)到了一個(gè)全新的水平。

1.2MacOSX系統(tǒng)破解步驟

在取證過(guò)程中，取證工作者拿到的往往是鏡像文件或者整個(gè)磁盤(pán)，上述破解方法無(wú)法直接使用。而是需要取證工作者手動(dòng)mount鏡像或者磁盤(pán)，解析HFS+文件系統(tǒng)，將文件系統(tǒng)的元數(shù)據(jù)全部讀取出來(lái)，HFS+文件系統(tǒng)的元數(shù)據(jù)組織形式是B-樹(shù)，通過(guò)中序遍歷的方式得到所有文件，然后將遍歷所得的文件構(gòu)建成目錄樹(shù)，找到/var/db/.AppleSetupDone文件的元數(shù)據(jù)，破壞該文件的元數(shù)據(jù)，比如將文件名改為.AppleSetupNotDone，實(shí)現(xiàn)破解。HFS+文件系統(tǒng)解析：文件系統(tǒng)除了讓用戶供穩(wěn)定地存放文件這一目標(biāo)以外，還是各項(xiàng)操作系統(tǒng)功能的基礎(chǔ)。MacOSX每個(gè)大發(fā)行版都要增加數(shù)百項(xiàng)新功能，許多新功能?chē)?yán)重依賴于文件系統(tǒng)的實(shí)現(xiàn)。MacOSX10.3提供了FileVault來(lái)加密用戶文件，因此用戶主目錄被保存在一個(gè)HFS+文件系統(tǒng)加密鏡像中。HFS+卷的磁盤(pán)布局為：開(kāi)頭1024字節(jié)保留，緊跟在后面的一個(gè)扇區(qū)被稱(chēng)為VolumeHeader扇區(qū)，后面為元數(shù)據(jù)區(qū)，共5個(gè)文件，分別為分配文件(AllocationFile)，盤(pán)區(qū)溢出文件(ExtentsOverflowFile)，目錄文件(CatalogFile)，屬性文件(AttributeFile)和啟動(dòng)文件(StartupFile)，剩余的為用戶數(shù)據(jù)區(qū)，最后兩個(gè)扇區(qū)為VolumeHeader備份和512字節(jié)的保留空間。卷頭前面以及卷頭備份后面的保留區(qū)雖然沒(méi)有數(shù)據(jù)，但是在分配文件中被標(biāo)記為已使用，用于保護(hù)卷頭和備份卷頭，5種元數(shù)據(jù)文件并非連續(xù)存放，而是分別存放在用戶數(shù)據(jù)區(qū)的不同位置。

2頭節(jié)點(diǎn)

無(wú)論是目錄文件還是域溢出文件，它們的第一個(gè)節(jié)點(diǎn)一定是頭節(jié)點(diǎn)。

3結(jié)語(yǔ)

本文主要介紹了在MacOS取證過(guò)程中繞過(guò)密碼的方法，在MacOS系統(tǒng)使用越來(lái)越廣泛的今天，對(duì)密碼的破解工作顯得越來(lái)越有意義，本文針對(duì)MacOSX系統(tǒng)做了一些嘗試和論證，得出了一些方法和結(jié)論，但是對(duì)于取證工作來(lái)說(shuō)單純的通過(guò)破壞登錄文件來(lái)實(shí)現(xiàn)破解遠(yuǎn)遠(yuǎn)不夠，例如對(duì)于同為蘋(píng)果公司的使用非常廣泛的iphone也使用了HFS+文件系統(tǒng)，但是iphone的HFS+文件系統(tǒng)是加密的無(wú)法直接拿到文件系統(tǒng)的元數(shù)據(jù)，對(duì)于這一課題還有很多問(wèn)題需要解決。

作者：吳彬1；趙鍇1；于士超2 單位：1.上海市公安局，2.盤(pán)石軟件(上海)有限公司