来源:数据安全与取证(ID:Cflab_net)
原创:Sprite
本文内容要点
APFS的诞生
APFS的特点
APFS的“容器”概念
APFS的分析方法
2016年6月14日,苹果公司在WWDC上正式宣布了全新的文件格式——Apple File System(简称APFS),即“苹果文件系统”。从2017年的macOS High Sierra首先启用APFS文件系统后,用户是更加放心了,但取证人员更头疼了。
APFS的诞生
APFS是一个64位文件系统,单个分区支持9百亿亿文件,为取代苹果延用了30多年之久的HFS+文件系统而生,加入了很多现代文件系统应有的新功能特性。
在此之前,苹果的所有设备几乎都是基于HFS文件系统,但实际上由于设备的特性不同,因此采用的文件系统有多种,如macOS上的HFS、HFS+和HFS+J,而iPhone、Apple Watch的HFS+和HFS+ Per-File Crypto。此外,存储管理又有Fusion Drive和CoreStorage等等,相当繁杂混乱。
APFS文件系统
所以,苹果公司为改变现状,就设计出了功能更先进、更齐全的APFS,成为苹果设备中统一的文件系统。
APFS的特点
APFS作为苹果公司新的“扛把子”,该文件系统具备了一些新的优点。
动态存储:在不用重新分区的情况下,分区大小可以动态调整;
克隆:快速、高效地在同个卷宗上复制文件,且不须占用额外存储空间。对数据的修改将写入其他位置,未修改的块可继续共享使用。
快照:创建特定时间点、文件系统只读实例的快照;
磁盘加密:三种卷加密模型——不加密、单**加密、多**加密(即每个文件使用单独的**加密,元数据再使用另一个**加密)。
数据完整性:为确保数据完整性,APFS 对元数据采用校验和技术;
崩溃防护:使用“全新元数据记录、指向新记录、释放旧记录”的逻辑,而非覆盖现有记录,从而避免更新期间崩溃导致的记录损坏。
APFS的“容器”概念
苹果文件系统最令人惊叹的地方,就在于其动态存储特性。首先,我们来理解一下「容器」(container)的概念。
对照磁盘工具,我们可以看到物理磁盘之下,首先是一个「APFS容器」,其下才是APFS逻辑卷,这些「卷」是放在「APFS容器里面的」。
APFS文件系统
APFS格式的磁盘就是单个容器,多个分区共享容器的空余容量。
举个例子,如果在一个1000GB的APFS格式磁盘上,有一个A分区和一个B分区。
APFS文件系统
目前A和B分区各占300G和400G,但两者都可以任意用整个「容器」剩余的300GB空间。A和B分区可以不设固定分区大小,这样在A或B分区中,即使再存储一个大至300GB的文件都没问题。
我们都知道,一直以来,传统的文件系统都是通过固定的分区来管理文件的。我们之所以能迅速定位某个文件,很大程度上都依赖于记录固定位置的分区表。
APFS文件系统
(戳