01 难点

   1. 一般来说，普通的笔记本我们可以通过拆卸硬盘只读的方式直接对检材硬盘进行取证，但较新的MAC笔记本存储直接集成在主板上，无法拆卸。

   2. 无法拆卸或没有对应接口的情况下我们还可以通过长按option，PE外部启动的方式对检材进行镜像，但较新的MAC笔记本均禁止从外部启动，即便能启动因为新M1、M2及T2芯片加密，要么是看不到存储硬盘，要么镜像出来的数据是加密状态，后期无法对镜像文件进行解析。

   3. 当然我们也可以通过直接拷贝的方式进行固定，但是这个方式很容易漏掉数据，并且对于MAC的使用痕迹提取相当不友好。比如该案涉及到区块链，各种浏览器记录非常重要，虽然可以使用浏览器自带的备份功能备份，但是浏览器较多时操作繁琐。

   那么有没有一种更简便的方式对电子数据进行固定呢？当然有，答案就是时间机器备份。

02 方案

    时间机器备份是MAC自带的备份功能，它可以备份macOS上的数据，包括 应用数据、音乐、照片、电子邮件、文稿、使用痕迹等。

    1. 准备工具

     准备一个固定专用U盘，容量大小根据MAC的存储大小确定，一般来说64G-128G可以满足大多数的需求。

     提前将固定专用U盘数据擦除干净，避免U盘上的数据对固定数据造成污染。

     将U盘接入MAC设备并格式化为APFS分区，推荐使用雷电3接口，速度更快。

    2. 数据备份

    打开苹果电脑工作台-系统偏好设置，找到时间机器并打开，部分机器默认勾选菜单栏显示时间机器，可直接在右上方菜单栏中打开。

    点击选择备份磁盘，选中接入的U盘开始备份，切勿勾选加密备份，该操作可能会导致备份的数据无法解析。

     等待备份完成后对数据进行校验，有如下两种方式：

  （1）如固定U盘空间足够可直接在U盘内将数据进行压缩校验，校验方法为打开终端-输入MD5加空格-将需要校验的文件拖入终端窗口或输入文件目录即可；

  （2）将固定U盘取出在执法人员采集工作电脑上对U盘全盘进行校验并生成校验值。

    至此电脑的勘验固定工作部分就已完成。

    3. 数据分析

    用计算机取证分析系统对时间机器备份数据可直接分析，将其可视化的展示出来。

03 注意事项

    1. 现场不能断电关机；

    2. 固定专用U盘应事先擦除干净数据，避免造成数据污染；

    3. 固定时MAC设备应断开网络，以防嫌疑人员未完全掌握时，数据被远程抹除；

    4. Mac自带的QuickTime Player功能可对操作进行录屏，可与执法记录仪同时录像，形成对勘验中固定过程的记录；

    5. 该方法同样适用于扣押之后的取证，由于开机操作，建议在录屏、录像环境下操作。