如何访问macOS上的锁定文件

锁定记录（Lockdown record）或配对记录（Pair Record）技术通常被取证专家用于访问锁定的iOS设备，他们通过使用从嫌疑人计算机中提取的现有锁定记录，进而使用iOS Forensic Toolkit和其他取证工具执行iOS设备的逻辑取证。逻辑取证有助于取证存储在系统备份中的信息，访问共享和媒体文件，甚至可以提取设备里的崩溃日志。但是，由于macOS使用访问权限保护锁定文件，锁定记录可能很难访问并且难以提取。今天，就让我们来看看如何访问macOS系统上的锁定文件。

什么是锁定记录？

关于锁定记录的其中一个解释是，它只是一个存储在用户计算机上的文件。更严格的说，锁定文件保留了加密密钥，这些密钥用于iOS设备与它们配对的计算机进行通信。这样的配对记录是在用户首次将其iOS设备连接到安装了iTunes的Mac或PC时创建的。即使iPhone被锁定，锁定记录也可以帮助iPhone与计算机通信，这样用户每次连接到PC时都不必解锁设备。这意味着，如果取证专家可以获得有效的、未过期的锁定记录，则可能能够对锁定的iOS设备执行逻辑取证。也就是说，锁定记录在一段时间后会过期。如果iPhone在打开电源或重新启动后至少解锁过一次（带密码），则只能使用锁定记录。否则，数据分区仍然是加密的，取证人员则只能访问非常少的信息，不过仍然可以获得有关该设备的一些基本信息。

macOS会保护对锁定文件的访问

在macOS中，锁定记录存储在/private/var/db/lockdown中，从macOS High Sierra开始，Apple限制访问此文件夹。如果要分析正在运行的系统，则需要手动授予对此文件夹的访问权限，这是怎么回事？有趣的是，Apple曾经有一篇关于修改锁定文件夹权限的文章，该文章后来从该公司的网站上被删除了。

如果要分析正在运行的系统，目前有两种方法可以授予对锁定文件夹的访问权限。第一种方法是使用终端并需要管理密码。如果取证人员不知道管理员密码，则可以使用GUI方法。

如何通过终端向锁定文件夹授予访问权限

要授予访问锁定文件夹的权限，取证人员需要发出以下命令：

sudo chmod 755 /private/var/db/lockdown

此命令需要管理权限：

如果取证人员不知道管理员密码，请使用其他方法。

如何通过GUI为锁定文件夹授予访问权限

取证人员还可以通过macOS GUI更改访问锁定文件夹的权限，具体步骤如下：

1.在Finder中，转到/private/var/db；

2.找到“lockdown”文件夹，观察 “locked”图标；

3.右键单击该文件夹；

4.打开 Sharing&Permissions设置；

5.将访问权限更改为Read only或Read&Write；

现在取证人员已成功授予对lockdown文件夹的访问权限，最后，取证人员可以将锁定文件复制到其他位置。取证人员进而可以使用iOS Forensic Toolkit对这些文件执行逻辑取证，即使iPhone或iPad使用未知密码锁定，也不会妨碍。