macOS Unified Log取证分析【美亚技术分享VOL.65】

输编者按2016年9月份苹果公司发布了macOS 10.12操作系统，宣布从该版本开始引入新的日志格式替换传统的文本日志。新的日志格式官方命名“Unified Log”，直译为“统一日志”。苹果公司对外只提供读写日志的接口，但是文件格式不对外公开。众所周知，系统日志包含大量信息，对取证具有重要意义。本期美亚柏科技术专家将与我们分享对该日志系统的研究分析，一起来了解一下吧。一、特点1.1全平台通用 Unified Log是苹果公司全平台通用的日志格式，iOS 10.0、macOS 10.12、tvOS 10.0、watchOS 3.0及更新的系统采用这种新的日志格式。（图1-1：全平台通用 - 来自官网）1.2包含大量信息 它包含USB设备使用记录、云连接设备、邮件同步、网络连接、外部设备使用记录、系统备份等大量 ………………………………