• 关于苹果文件系统的格式
目前苹果系统采用的是APFS（ Apple File System）格式。曾经在1998年以来一直使用的HFS+(分层文件系统增强版)。

• APFS的发展过程与分析价值
APFS最初在2016版的MacOS Sierra(10. 12)预览版推出，2017版的Mac0S High Sierra (10. 13) 开始全面支持APFS，i0S 10. 3也开始支持APFS。APFS是一个适用于 macOS、iOS、tvOS 和 watchOS 近乎所有Apple产品的文件系统，深入研究这种文件系统很重要。

• APFS 与HDS+两种文件系统的差异

• 面对APFS在文件系统级别对数据进行了加密的MacOS如何取证
APFS的加密是以卷为单位进行加密，“解锁” APFS 卷也不会生成特殊的处于解密状态的块设备。所以取证分析工具必须能够提供APFS卷的解密能力，而且在FileVault加密开启的情况，一定需要对目标设备做全盘镜像的设备（例如天宇宁达的蜂鸟是很好的选择），再通过AXIOM进行解密。

• 如何针对MacOS痕迹进行分析和取证
分析痕迹和文件的时候需要着重留意时间戳，通过AXIOM可以轻松通过如下方式实现对Macos 的痕迹分析：

(1) 分析大量活动的SQLite数据库
通过分析系统中的各个SQLite数据库，分析用户日常应用程序活动、屏幕使用的应用、外接设备情况、浏览器历史记录、通过屏幕背光状态变化判断设备使用痕迹、以及运用软件的安装卸载记录等等。

（2）分析BASH历史记录
Bash是一种基于Unix 的shell 程序，用于MacOS和Linux操作系统。在axiom中会显示之前所有的历史记录包括最开始从文件中读取的历史记录，以及当前会话产生的记录。

(3) 分析FSEvents日志
Apple FSEvents 对于每个苹果取证人员而言都是非常宝贵的证物，它记录着文件系统发生的变化, 它被TimeMachine 和 Splotlight 等操作系统的多个组件使用。类似于Windows系统的NTFS日志（该日志记录了NTFS文件系统的变化，并将数据存储在UsnJrnl:$J中），FSEvents也一直记录了APFS文件系统的变化，并将数据存储在FSEvent日志文件中。通过解析FSEvent日志，我们可以分析出文件系统曾发生过的事件，如文件、文件夹、符号链接和硬链接的创建、删除、重命名、修改、权限更改等。其中有价值的日志包括：安装和卸载外部驱动器和磁盘映像、用户配置目录中的活动、文档编辑、互联网活动、移动到垃圾篓的文件，下载的文件等等。

（4）从其他方面分析
如USB连接、已隔离文件（Quarantined Files）、Spotlight元数据和扩展属性、AirDrop、Spotlight快捷方式、Wallet等痕迹也都可以通过AXIOM进行分析展示。