【发布时间】:2016-12-17 16:38:56
【问题描述】:
对于使用本机 Mac 应用程序对驱动器和/或分段进行取证成像,我从外部设备(usb、hdd 等)启动到 BaseSystem。我想在引导过程中保持内部驱动器和/或段未挂载(在引导之前无法知道驱动器/段卷名和/或 UUID)。稍后将禁用磁盘仲裁,挂载这些驱动器/段并对其进行映像。
我创建了一个守护进程 (System/Library/LaunchDeamons) 来阻止挂载(在外部启动设备上),但它只阻止新连接的设备,而不是内部设备。
注意 1:我从 Sierra (10.12.1) 的 BaseSystem.dmg 创建了启动映像,并修改了内容。
注意 2:由于在启动之前无法知道驱动器/段卷名称和/或 UUID,因此无法使用 fstab。
我需要一个可以遵循的方向,任何评论都可能会有所帮助。谢谢。
【问题讨论】:
标签: macos computer-forensics automount diskarbitration