绕过操作系统密码的取证方法探讨范文

《密码学报》2008年第1期

摘要：随着苹果电脑的普及，取证分析中很多情况下要考虑MacOS的取证，如果被取证的Mac系统设置了登录密码，那么取证过程中就要想办法绕过登录密码，取得管理员权限。本文主要介绍了绕过MacOS系统登录密码的原理，介绍了HFS+文件系统的卷结构，深入剖析了HFS+文件系统卷头结构，元数据文件以及节点结构。研究了B-树的遍历过程。然后对如何在取证系统中实现进行了详细的分析。

关键词：苹果系统；取证；密码重置；HFS+文件系统；B树

0引言

苹果系统界面独特，安全性较高，使其越来越受到大众的欢迎，在美国苹果笔记本的市场占有率已经超过了windows，在中国很多消费者也选择苹果电脑作为其工作和学习的首选。因此，对于取证工作来说，苹果系统的取证分析也十分必要。本文以MacOSX为例子，探讨重置MacOSX的开机密码的可行性，方法。利用解析MacOSX的文件系统HFS+找到/var/db/.AppleSetupDone文件并破坏该文件，从而实现系统管理员自动失效，进而重启系统，重建管理员实现密码重置。

1MacOSX系统

1.1MacOSX系统简介

MaxOSX，这是一个基于UNIX核心的系统，增强了系统的稳定性、性能以及响应能力。它能通过对称多处理技术充分发挥双处理器的优势，提供无与伦比的2D、3D和多媒体图形性能以及广泛的字体支持和集成的PDA功能。MacOSX通过Classic环境几乎可以支持所有的MacOS9应用程序，直观的Aqua用户界面使MACintosh的易用性又达到了一个全新的水平。

1.2MacOSX系统破解步骤

在取证过程中，取证工作者拿到的往往是镜像文件或者整个磁盘，上述破解方法无法直接使用。而是需要取证工作者手动mount镜像或者磁盘，解析HFS+文件系统，将文件系统的元数据全部读取出来，HFS+文件系统的元数据组织形式是B-树，通过中序遍历的方式得到所有文件，然后将遍历所得的文件构建成目录树，找到/var/db/.AppleSetupDone文件的元数据，破坏该文件的元数据，比如将文件名改为.AppleSetupNotDone，实现破解。HFS+文件系统解析：文件系统除了让用户供稳定地存放文件这一目标以外，还是各项操作系统功能的基础。MacOSX每个大发行版都要增加数百项新功能，许多新功能严重依赖于文件系统的实现。MacOSX10.3提供了FileVault来加密用户文件，因此用户主目录被保存在一个HFS+文件系统加密镜像中。HFS+卷的磁盘布局为：开头1024字节保留，紧跟在后面的一个扇区被称为VolumeHeader扇区，后面为元数据区，共5个文件，分别为分配文件(AllocationFile)，盘区溢出文件(ExtentsOverflowFile)，目录文件(CatalogFile)，属性文件(AttributeFile)和启动文件(StartupFile)，剩余的为用户数据区，最后两个扇区为VolumeHeader备份和512字节的保留空间。卷头前面以及卷头备份后面的保留区虽然没有数据，但是在分配文件中被标记为已使用，用于保护卷头和备份卷头，5种元数据文件并非连续存放，而是分别存放在用户数据区的不同位置。

2头节点

无论是目录文件还是域溢出文件，它们的第一个节点一定是头节点。

3结语

本文主要介绍了在MacOS取证过程中绕过密码的方法，在MacOS系统使用越来越广泛的今天，对密码的破解工作显得越来越有意义，本文针对MacOSX系统做了一些尝试和论证，得出了一些方法和结论，但是对于取证工作来说单纯的通过破坏登录文件来实现破解远远不够，例如对于同为苹果公司的使用非常广泛的iphone也使用了HFS+文件系统，但是iphone的HFS+文件系统是加密的无法直接拿到文件系统的元数据，对于这一课题还有很多问题需要解决。

作者：吴彬1；赵锴1；于士超2 单位：1.上海市公安局，2.盘石软件(上海)有限公司