苹果电脑取证？先搞定APFS文件系统再说！

来源：数据安全与取证（ID：Cflab_net）

原创：Sprite

本文内容要点

• APFS的诞生

• APFS的特点

• APFS的“容器”概念

• APFS的分析方法

2016年6月14日，苹果公司在WWDC上正式宣布了全新的文件格式——Apple  File System（简称APFS），即“苹果文件系统”。从2017年的macOS High Sierra首先启用APFS文件系统后，用户是更加放心了，但取证人员更头疼了。

APFS的诞生

APFS是一个64位文件系统，单个分区支持9百亿亿文件，为取代苹果延用了30多年之久的HFS+文件系统而生，加入了很多现代文件系统应有的新功能特性。

在此之前，苹果的所有设备几乎都是基于HFS文件系统，但实际上由于设备的特性不同，因此采用的文件系统有多种，如macOS上的HFS、HFS+和HFS+J，而iPhone、Apple Watch的HFS+和HFS+ Per-File Crypto。此外，存储管理又有Fusion Drive和CoreStorage等等，相当繁杂混乱。

APFS文件系统

所以，苹果公司为改变现状，就设计出了功能更先进、更齐全的APFS，成为苹果设备中统一的文件系统。

APFS的特点

APFS作为苹果公司新的“扛把子”，该文件系统具备了一些新的优点。

1. 动态存储：在不用重新分区的情况下，分区大小可以动态调整；

2. 克隆：快速、高效地在同个卷宗上复制文件，且不须占用额外存储空间。对数据的修改将写入其他位置，未修改的块可继续共享使用。

3. 快照：创建特定时间点、文件系统只读实例的快照；

4. 磁盘加密：三种卷加密模型——不加密、单密钥加密、多密钥加密（即每个文件使用单独的密钥加密，元数据再使用另一个密钥加密）。

5. 数据完整性：为确保数据完整性，APFS 对元数据采用校验和技术；

6. 崩溃防护：使用“全新元数据记录、指向新记录、释放旧记录”的逻辑，而非覆盖现有记录，从而避免更新期间崩溃导致的记录损坏。

APFS的“容器”概念

苹果文件系统最令人惊叹的地方，就在于其动态存储特性。首先，我们来理解一下「容器」(container)的概念。

对照磁盘工具，我们可以看到物理磁盘之下，首先是一个「APFS容器」，其下才是APFS逻辑卷，这些「卷」是放在「APFS容器里面的」。

APFS文件系统

APFS格式的磁盘就是单个容器，多个分区共享容器的空余容量。

举个例子，如果在一个1000GB的APFS格式磁盘上，有一个A分区和一个B分区。

APFS文件系统

目前A和B分区各占300G和400G，但两者都可以任意用整个「容器」剩余的300GB空间。A和B分区可以不设固定分区大小，这样在A或B分区中，即使再存储一个大至300GB的文件都没问题。

我们都知道，一直以来，传统的文件系统都是通过固定的分区来管理文件的。我们之所以能迅速定位某个文件，很大程度上都依赖于记录固定位置的分区表。

APFS文件系统

（戳