繞過操作系統密碼的取證方法探討范文

本站小編為你精心準備了繞過操作系統密碼的取證方法探討參考范文，愿這些范文能點燃您思維的火花，激發您的寫作靈感。歡迎深入閱讀并收藏。

《密碼學報》2008年第1期

摘要：隨著蘋果電腦的普及，取證分析中很多情況下要考慮MacOS的取證，如果被取證的Mac系統設置了登錄密碼，那么取證過程中就要想辦法繞過登錄密碼，取得管理員權限。本文主要介紹了繞過MacOS系統登錄密碼的原理，介紹了HFS+文件系統的卷結構，深入剖析了HFS+文件系統卷頭結構，元數據文件以及節點結構。研究了B-樹的遍歷過程。然后對如何在取證系統中實現進行了詳細的分析。

關鍵詞：蘋果系統；取證；密碼重置；HFS+文件系統；B樹

0引言

蘋果系統界面獨特，安全性較高，使其越來越受到大眾的歡迎，在美國蘋果筆記本的市場占有率已經超過了windows，在中國很多消費者也選擇蘋果電腦作為其工作和學習的首選。因此，對于取證工作來說，蘋果系統的取證分析也十分必要。本文以MacOSX為例子，探討重置MacOSX的開機密碼的可行性，方法。利用解析MacOSX的文件系統HFS+找到/var/db/.AppleSetupDone文件并破壞該文件，從而實現系統管理員自動失效，進而重啟系統，重建管理員實現密碼重置。

1MacOSX系統

1.1MacOSX系統簡介

MaxOSX，這是一個基于UNIX核心的系統，增強了系統的穩定性、性能以及響應能力。它能通過對稱多處理技術充分發揮雙處理器的優勢，提供無與倫比的2D、3D和多媒體圖形性能以及廣泛的字體支持和集成的PDA功能。MacOSX通過Classic環境幾乎可以支持所有的MacOS9應用程序，直觀的Aqua用戶界面使MACintosh的易用性又達到了一個全新的水平。

1.2MacOSX系統破解步驟

在取證過程中，取證工作者拿到的往往是鏡像文件或者整個磁盤，上述破解方法無法直接使用。而是需要取證工作者手動mount鏡像或者磁盤，解析HFS+文件系統，將文件系統的元數據全部讀取出來，HFS+文件系統的元數據組織形式是B-樹，通過中序遍歷的方式得到所有文件，然后將遍歷所得的文件構建成目錄樹，找到/var/db/.AppleSetupDone文件的元數據，破壞該文件的元數據，比如將文件名改為.AppleSetupNotDone，實現破解。HFS+文件系統解析：文件系統除了讓用戶供穩定地存放文件這一目標以外，還是各項操作系統功能的基礎。MacOSX每個大發行版都要增加數百項新功能，許多新功能嚴重依賴于文件系統的實現。MacOSX10.3提供了FileVault來加密用戶文件，因此用戶主目錄被保存在一個HFS+文件系統加密鏡像中。HFS+卷的磁盤布局為：開頭1024字節保留，緊跟在后面的一個扇區被稱為VolumeHeader扇區，后面為元數據區，共5個文件，分別為分配文件(AllocationFile)，盤區溢出文件(ExtentsOverflowFile)，目錄文件(CatalogFile)，屬性文件(AttributeFile)和啟動文件(StartupFile)，剩余的為用戶數據區，最后兩個扇區為VolumeHeader備份和512字節的保留空間。卷頭前面以及卷頭備份后面的保留區雖然沒有數據，但是在分配文件中被標記為已使用，用于保護卷頭和備份卷頭，5種元數據文件并非連續存放，而是分別存放在用戶數據區的不同位置。

2頭節點

無論是目錄文件還是域溢出文件，它們的第一個節點一定是頭節點。

3結語

本文主要介紹了在MacOS取證過程中繞過密碼的方法，在MacOS系統使用越來越廣泛的今天，對密碼的破解工作顯得越來越有意義，本文針對MacOSX系統做了一些嘗試和論證，得出了一些方法和結論，但是對于取證工作來說單純的通過破壞登錄文件來實現破解遠遠不夠，例如對于同為蘋果公司的使用非常廣泛的iphone也使用了HFS+文件系統，但是iphone的HFS+文件系統是加密的無法直接拿到文件系統的元數據，對于這一課題還有很多問題需要解決。

作者：吳彬1；趙鍇1；于士超2 單位：1.上海市公安局，2.盤石軟件(上海)有限公司