起源：iForensics（ID：iForensics-）

偶然候咱们会碰到某些Mac打算机不便利拆机制做复制盘，在开机形态下，对Mac打算机举行紧急数据索取后，也许对本机磁盘举行数据镜像，将镜像文献保管在用于取证的挪移保存设置或NFS效劳器中，用于凭据稳固和进一步剖析。底下就详细操纵举行分享。

一、筹办劳动

1反省能否开启FileVault

首先，须要处理MacOS数据加密的题目。假如系统开启了FileVault，磁盘数据将被加密，制做的磁盘镜像也被加密，不能直接剖析数据，固然解密后也能剖析镜像，然而，在开机形态下直接阻塞系统的FileVault是一个较量好的取舍。

2对于NTFS文献系统的挂载

制做磁盘镜像，每每须要将磁盘镜像以文献方式保管在挪移保存设置中，然而，咱们寻常取证用的挪移硬盘大部份都采纳NTFS文献系统，NTFS文献系统在Mac系统下默许挂载为只读方式，假如要对NTFS文献系统举行写入操纵，须要安置第三方器材来达成。为了缩小对质据的影响，保举众人采纳下令方法达成对NTFS文献系统的读写。详细下令以下（假如挪移保存设置为disk2，分区为disk2s1，称呼为udisk）：

首先，接入挪移硬盘，观察挂载环境。

mount

//手动umount

sudoumount/Volumes/udisk

mkdir/Volumes/udisk

//手动从头mount

sudomount-t-ntfs-orw,auto,nobrowse/dev/disk2s1/Volumes/udisk

//在桌面显示挪移保存

sudoln-s/Volumes/udisk~/Desktop/udisk

//利用完后，须要手动umount和eject

sudoumount/Volumes/udisk

diskutileject/dev/disk2

3对于NFS的挂载

制做磁盘镜像，除了保管在挪移保存设置中，也也许经过网络保管在NFS效劳器中，特别当Mac打算机的磁盘容量较量大时，也许将磁盘镜像经过NFS保管在NAS中。在MacOS中挂载NFS的下令以下（假如NFS效劳器IP为..0.，NFS效劳器同享目录为win7nfs，内陆挂载目录为/tmp/nfs）：

//显示..0.的同享目录

showmount-e..0.

mkdir/tmp/nfs

mount-tnfs..0.:/win7nfs/tmp/nfs

//利用完后，必需umount。

umount/tmp/nfs

假如umount失利也许听下令umount-f/tmp/nfs

二、数据镜像

筹办劳动达成后，就也许最先举行数据镜像。

1利用功具FTKImager

FTKImager也撑持MacOS，不过对系统版本有请求，当今只撑持10.5和10.6。

详细的下令为：

首先须要听下令ftkimager--list-drives也许diskutillist猎取磁盘列表。

./ftkimager/dev/disk0/Volumes/udisk/mac.e01--e01

2利用DD下令

利用系统自带的DD下令也也许制做磁盘镜像。比如对disk0制做磁盘镜像的下令为：

sudoddif=/dev/disk0of=/Volumes/udisk/mac.ddbs=1mconv=noerror,sync

三、小结

以上是针对MacOS开机形态下，制做磁盘镜像的阅历分享，有不够之处，招待留言反应。