编者按：在PC端的电子数据取证过程中，针对Mac电脑日志进行分析提取是一项重要内容。由于Mac日志文件在window系统上并不能直接识别，因此需要对其结构进行解析。本期，数据恢复四川省重点实验室科研人员将介绍Mac日志文件的结构，以及如何利用效率源DF电子数据分析系统对其进行分析提取。

一、什么是Mac日志文件

      Mac日志文件是记录电脑系统应用程序和服务活动的文件，其后缀名为.asl，全名为Apple System Log。通过研究发现，Mac日志文件按天存储，主要分为系统日志、安装器日志、无线连接日志、VPN连接日志、内核日志、诊断日志和电源管理日志7大类别，存储格式均为asl。由于Mac日志数据存储方式为二进制，在Window系统上并不能直接识别该文件，因此需要对其中的asl日志文件结构进行解析。

二、Mac日志文件结构

      1.日志头部

      Mac日志文件存储结构均为asl。研究发现，asl文件由文件头部+日志记录组成，文件头部长度为80字节的固定长度，其结构如图1。

图1

      日志头部文件记录了首条日志记录在文件中存储的位置，每条记录会记载下一条日志记录的偏移量。每条日志记录长度为非固定长度，其结构如图2。

图2

      2.日志等级

     Mac日志文件等级按照0-7分为8个等级，每个数字代表不同的含义，如图3。

图3

      3.ASL STRING字符串格式

      ASL String是一种特殊的字符串存储格式：

      当存储的字符串<=7字节，就将首字节首位设为1，剩余7个字节存储字符串数据，字符串长度不足7字节用0x00填充；

      当存储的字符串>7字节，就将首字节首位设为0，以整个8个字节作为真实数据的偏移量，指向存储的字符串。

      字符串数据长度<=7字节示例：

图4

      首字节0x86的二进制表示为:10000110，首位是1，即后面7个字节代表存储的字符串数据，编码方式为UTF-8，解析出结果为“powerd”，如图4所示。

      字符串数据长度>7字节示例：

图5

      首字节的二进制表示为:0000 0000，即整个8个字节代表字符串在整个日志文件的偏移量，利用winhex工具跳转到对应数据，如图6所示。

图6

       该字符串长度为0x0B，编码方式为UTF-8，解析出结果为HogandeMBP，如图7。

图7

备注：

      时间均为unix时间戳(UTC)，以1970-01-01 00:00:00作为基准时间；字节存储顺序为大端存储。

三、利用DF解析Mac日志数据

      1.运行效率源DF电子数据分析系统，添加Mac镜像文件并加载Mac日志文件，如图8。

图8

      2.点击自动取证，选择Mac系统日志并开始提取，如图9。

图9

      3.查看日志解析结果，如图10。

图10

四、结语

      本期，数据恢复四川省重点室科研人员介绍了Mac日志文件的结构，以及如何利用源DF电子数据分析系统对其进行分析提取。DF电子数据分析系统作为一款专门针对电子数据进行分析的专业设备，具有快速取证、数据提取、痕迹提取、数据分析、分析报告等功能，在电子数据取证过程中发挥了重要作用。