brew 镜像_Macosx硬盘和内存镜像取证

Macosx硬盘和内存镜像取证

在windows系统上，有winhex等神器，可以方便的完成镜像取证等工作，如何将macosx系统硬盘和内存镜像数据给winhex等分析？除了通过dd等工具镜像为文件外，本文将介绍一个方法，将更方便的完成macosx硬盘数据镜像取证。

准备工作

一台被镜像取证的mac电脑运行的Macosx系统

一台电脑运行的Windows系统

两台电脑要能通过网络通信，并且最好是有线千M网络，因为mac系统的硬盘数据，是通过网络传输到windows系统的虚拟磁盘上，所以网络速度至关重要。

如何关闭SIP（系统完整性保护）

如果不需要读取mac系统分区，请跳过本设置。在终端中输入csrutil status，就可以看到是enabled还是disabled。只有是disabled才可以读取系统分区。

执行以下步骤关闭SIP：

1、重启MAC，按住cmd+R直到屏幕上出现苹果的标志和进度条，进入Recovery模式；

2 、在屏幕最上方的工具栏找到实用工具（左数第3个），打开终端，输入：csrutil disable；

3 、关掉终端，重启mac；

注：如果要开启SIP，与关闭的步骤类似，只是在终端中输入csrutil enable

安装RFSD

在Macosx系统上，下载RFSD并运行，RFSD是跨平台的文件操作服务，通过该服务可实现读取mac硬盘数据。

RFSD主页：http://ranfs.com/cn/?RFSD

执行如下命令：

 wget http://ranfs.com/pub/rfsd/all/get.sh -O -|sh -s /tmp/rfsd

或使用curl

curl http://ranfs.com/pub/rfsd/all/get.sh -o -|sh -s /tmp/rfsd

命令解释：假定安装/tmp/rfsd目录，由于要读取硬盘数据，这里可能会要求输入root密码。

注：防火墙配置，默认情况下，脚本自动配置了系统防火墙，放行了使用的端口，如果使用了其它防火墙，请手动放行端口，6688为rfp服务端口，必须放行 ，6686为rfps服务端口 和 6680为web调试和配置端口，根据需要放行。

---

在Windows系统上，下载RFDK并运行，RFDK是虚拟磁盘驱动器，可以把远程硬盘虚拟为本地磁盘。

RFDK主页：http://ranfs.com/cn/?RFDK

下载地址：http://ranfs.com/pub/rfdk/windows/rfdk.zip

下载到本地解压，执行install.bat等待安装完成，至此win上的准备工作完成。

更多的帮助见安装包里的：rfdk-cn.pdf

使用rfdk-gui挂载磁盘

在Windows上运行rfdk-gui，新建客户端连接如下图：

假定RFSD运行的电脑Ip地址为192.168.111.11，点击确定添加完成，这时主界面上会显示当前电脑，拥有的相关存储设备列表。

双击红圈/dev/disk0，会弹出挂载磁盘配置对话框，默认只读，确定后就完成了磁盘挂载。然后就可以使用winhex等工具，打开.PhysicalDrive2，完成镜像取证等工作。

双击红圈/dev/pmem，完成对物理内存的挂载，然后可以使用valgrind等工具，完成对内存取证等操作。

注意：请确保网络正常，及RFSD正常运行，如果网络断了或RFSD异常关闭，虚拟磁盘将自动消失。

遇到不能解决的问题，请联系：tech@ranfs.com, 或加QQ群：599829506。