执法机关在面对苹果计算机检材时都会因为苹果计算机系统中存在的重重难关而苦恼，比如苹果计算机系统与Windows系统的差异（HFS+，APFS，Windows文件系统）。通过这篇文档可以为各位了解苹果计算机系统中的难题挑战，以及如何在现场取证或实验室分析中解决这些难题。

很多购买苹果电脑的消费者都十分看重苹果计算机自带的Filevault2加密，相比于第三方加密算法更加稳定可靠，且几乎不影响系统运行速度，加密后的苹果计算机很难通过技术手段进行密码绕过。苹果公司目前已经有越来越多的产品线使用了其基于ARM架构研发的芯片组，例如，手机，平板，智能穿戴设备等产品线。

苹果采用自主研发芯片后取证难度进一步提升。APFS文件系统虽然是一种类似加密容器形式，但是可以通过大部分取证软件进行绕过。苹果设备中采用新M1和T2加密芯片的系列，都是在出厂时默认开启加密，因此电子取证人员很难对这些设备进行数据提取以及物理镜像。

随着M1和T2芯片设备不断提升安全级别，取证人员必须要拿到苹果检材的管理员密码，如果没有密码，取证工作基本可以宣告结束。苹果计算机系统已经没有什么旁门左道可以登录系统。虽然新苹果设备支持安全启动，但是这并不是法庭科学规范取证方法。

针对采取了以上几种高安全级别加密芯片的苹果设备，有以下几种方法提取数据：

1. 通过位对位提取加密苹果计算机的物理镜像，但是由于苹果物理加密，这种方式并不能拿到什么数据。

2. 通过位对位提取解密苹果计算机的物理镜像，这种方式可以提取到M1和T2加密芯片设备的解密数据。提取到的物理镜像数据以逻辑方式保存在磁盘中。

3. 逻辑镜像（在线数据获取）。利用这种方式，取证人员可以拷贝文件类数据以及部分元数据，但是大部分深层的数据（或者说有意义的数据）都无法通过这种方式获取。

解决方案：

在取证现场如果发现处于开机解锁状态的苹果计算机一定要尽快取证，因为这可能是唯一能够在不知道密码的情况进行苹果计算机取证的方式。