《電子數(shù)據(jù)取證技術(shù)》課件-第6章

第6章macOS操作系統(tǒng)取證技術(shù)6.1macOS操作系統(tǒng)6.2macOS系統(tǒng)取證

6.1?macOS操作系統(tǒng)

6.1.1?macOS操作系統(tǒng)的特點macOS是蘋果公司針對蘋果計算機(jī)系列產(chǎn)品推出的計算機(jī)操作系統(tǒng)，2012年7月發(fā)布10.8版本后由MacOSX更名為OSX，2016年9月發(fā)布10.12版本后又更名為macOS，目前(截至2021年1月)的最新版本為2020年11月13日發(fā)布的macOSBigSur(版本號11.0)。

與蘋果公司其他知名的產(chǎn)品iPhone、iPad搭載的操作系統(tǒng)iOS類似，macOS也是結(jié)合蘋果計算機(jī)產(chǎn)品的硬件深度而定制的。在2005年之前，蘋果計算機(jī)使用的大多還是PowerPC架構(gòu)的微處理器，與常見的x86架構(gòu)的個人計算機(jī)產(chǎn)品互不兼容，直到2006年，蘋果公司推出了他們的第一款搭載Intelx86微處理器的MacBook，在同步發(fā)行的BootCamp的幫助下，蘋果計算機(jī)也支持Windows操作系統(tǒng)的安裝。

MacOSX體系結(jié)構(gòu)包括Darwin、核心框架、應(yīng)用框架層、用戶體驗層等幾部分，整個層次結(jié)構(gòu)如圖6-1所示。這些層次中，Darwin層是整個系統(tǒng)的基礎(chǔ)，它是開源的，提供了底層的API；而其上的3層都是閉源的，屬于蘋果公司的私有產(chǎn)品。圖6-1?MacOSX層次結(jié)構(gòu)

Darwin是一個開放源代碼、符合POSIX標(biāo)準(zhǔn)的類UNIX操作系統(tǒng)，操作系統(tǒng)的內(nèi)核為XNU(XisNotUNIX)，最早是由NeXT公司為了NeXTSTEP操作系統(tǒng)開發(fā)的。XNU是一種混合式的核心，包含Mach微內(nèi)核、BSD和DriverKit的驅(qū)動程序接口。蘋果公司收購NeXT公司后，XNU的Mach內(nèi)核部分被替換為開放軟件基金會(OpenSoftwareFoundation)創(chuàng)建的社區(qū)版的Mach內(nèi)核OSFMK，BSD部分被替換為FreeBSD，DriverKit改名為I/OKit，開發(fā)語言也由ObjectiveC變?yōu)镃++。XNU內(nèi)核源代碼基于蘋果開源許可(ApplePublicSourceLicense)發(fā)布，可在蘋果公司的網(wǎng)站獲取(/source/xnu)。

核心框架有時也被稱為圖形和多媒體層，該層包括OpenGL、Quartz、QuickTime、應(yīng)用程序服務(wù)等。

應(yīng)用框架層包括Classic、Cocoa、Carbon和java等。

用戶體驗層用來提供用戶界面，包括aqua、Quicklook、spotlight等組件。

6.1.2不同版本macOS的差異

2001年推出的MacOSX10.0是macOS系列操作系統(tǒng)版本之間的一個明顯分界點，在這之前蘋果計算機(jī)搭載的還是現(xiàn)在已經(jīng)被稱為ClassicMacOS的SystemSoftware7、MacOS8、MacOS9等操作系統(tǒng)。ClassicMacOS的最后一個版本是MacOS9.2.2，在這之后的MacOSX則是由名為Darwin的操作系統(tǒng)部分和名為aqua的圖形界面部分結(jié)合而成的。

早期的MacOSX10.0～10.3中仍然保留了對經(jīng)典環(huán)境的兼容性，通過一個模擬環(huán)境，用戶可以將MacOS9作為一個程序來運(yùn)行，在其中可以執(zhí)行MacOS9設(shè)計的程序。OSX10.9往后的版本均在應(yīng)用商店中免費為蘋果計算機(jī)用戶提供，所以市面上主流的蘋果計算機(jī)中運(yùn)行的操作系統(tǒng)基本都是最近發(fā)布的一兩個版本。

MacOSX10.0發(fā)布于2001年3月，內(nèi)部代號為Cheetah。相對于之前的MacOS，MacOSX是完全重寫的操作系統(tǒng)，功能并不十分齊全。

MacOSX10.1發(fā)布于2001年9月，內(nèi)部代號為Puma。在上一代發(fā)布之后不久就推出了該版本，增加了對DVD播放的支持功能。

MacOSX10.2發(fā)布于2002年8月，代號為Jaguar。蘋果公司第一次公開使用貓科動物的名稱作為操作系統(tǒng)的代號，一直延續(xù)到了MacOSX10.8。該版本中首次加入了日志式文件系統(tǒng)，還加入了用于發(fā)現(xiàn)網(wǎng)絡(luò)上的設(shè)備和服務(wù)的Bonjour協(xié)議，如打印機(jī)或其他計算器；新增了即時通信客戶端iChat。

MacOSX10.3發(fā)布于2003年10月，代號為Panther。該版本加入了對用戶目錄進(jìn)行加密的功能FileVault，推出了新的Web瀏覽器Safari代替之前和微軟合作使用的InternetExplorerforMac。系統(tǒng)中的卷默認(rèn)使用被稱為HFSJ的日志式文件系統(tǒng)。

MacOSX10.4發(fā)布于2005年4月，代號為Tiger。該版本中加入了基于索引的搜索工具Spotlight。除了標(biāo)準(zhǔn)的UNIX文件系統(tǒng)權(quán)限控制外，在HFS+的文件系統(tǒng)中還加入了基于訪問控制列表的權(quán)限管理機(jī)制。

MacOSX10.5發(fā)布于2007年10月，代號為Leopard。自動備份工具TimeMachine就是隨著這個版本發(fā)布的。該版本增加了在Finder中直接按空格鍵快速預(yù)覽文件的特性。同時推出的還有BootCamp軟件，可以用于在搭載Intel處理器的蘋果計算機(jī)上安裝微軟的Windows操作系統(tǒng)。

MacOSX10.6發(fā)布于2009年6月，代號為SnowLeopard。從該版本起，蘋果公司完全放棄了PowerPC架構(gòu)處理器的支持，僅支持安裝在使用了Intel處理器的蘋果計算機(jī)上。該版本主要做了性能的改進(jìn)，大部分系統(tǒng)應(yīng)用程序進(jìn)行了重新編譯以支持64位架構(gòu)。

MacOSX10.7發(fā)布于2011年7月，代號為Lion。這是第一個通過應(yīng)用商店MacAppStore發(fā)行的MacOS操作系統(tǒng)，系統(tǒng)中新增了Mac間文件共享的工具AirDrop，只要簡單的拖動操作就可以在設(shè)備間傳輸文件。隨系統(tǒng)發(fā)行的還有FaceTime，可以用于Mac、iPhone、iPad之間的視頻通話。新版本的加密工具FileVault2提供了全盤加密功能，添加了對外部硬盤的支持和用于修復(fù)系統(tǒng)的恢復(fù)分區(qū)功能。在MacOSX10.7.2的更新中推出了iCloud功能，支持郵件、日歷和聯(lián)系人的同步。

OSX10.8發(fā)布于2012年7月，代號為MountainLion。蘋果公司將MacOSX重命名為OSX，去掉了開頭的Mac。該版本中iChat應(yīng)用被Messages替換，新增了對iMessage的支持功能，可以與運(yùn)行iOS的設(shè)備互通消息，用戶iPhone、iPad上的iMessage消息也會同步到MacOS上。系統(tǒng)中新增的備忘錄、提醒事項、通知中心、游戲中心等也多是源于iOS中的功能。

OSX10.9發(fā)布于2013年10月，代號為Mavericks。從該版本起，蘋果公司不再按慣例使用貓科動物的名稱作為系統(tǒng)代號，而是使用了景點的名字；用戶不再需要付費升級系統(tǒng)，在MacAppStore中即可免費獲取。與上一個版本類似，該版本中加入了同樣先在iOS操作系統(tǒng)中搭載的iBooks電子書程序和地圖程序，在Finder中加入了文件標(biāo)簽功能和標(biāo)簽頁瀏覽模式。該版本中iCloud的功能得到了增強(qiáng)，可以在設(shè)備間同步鑰匙串中存儲的密鑰。

OSX10.10發(fā)布于2014年10月，代號為Yosemite。隨之推出的iCloudDrive云存儲兼容OSX、iOS和Windows三大操作系統(tǒng)平臺，支持存儲應(yīng)用數(shù)據(jù)、音樂、照片、視頻等各類數(shù)據(jù)，用戶可以方便地跨平臺存取自己的文件。新增的Continuity功能可以將iOS的內(nèi)容同步至OSX，如使用Mac收發(fā)iPhone的短信、通過Mac撥打和接聽電話。此外，AirDrop也支持iOS和OSX之間的文件傳輸。

OSX10.11發(fā)布于2015年9月，代號為ElCapitan。這是一次小的系統(tǒng)更新，主要增強(qiáng)了OSX的設(shè)計和可用性，同時包括性能改進(jìn)和安全更新。新增的系統(tǒng)完整性保護(hù)(SystemIntegrityProtection)禁止軟件以root身份在OSX上運(yùn)行，并且目錄/System、/sbin、/usr僅供系統(tǒng)使用，系統(tǒng)會阻止用戶在這些目錄中的操作。

macOS10.12發(fā)布于2016年9月，代號為Sierra。蘋果公司將OSX重命名為macOS以匹配公司的其他操作系統(tǒng)(如iOS、watchOS、tvOS)的命名體系。蘋果公司對之前版本的Continuity功能進(jìn)行了擴(kuò)展，當(dāng)用戶佩戴配對的AppleWatch靠近計算機(jī)時，計算機(jī)系統(tǒng)會自動解鎖，同一AppleID附件的macOS和iOS設(shè)備的剪貼板可以互通，用戶可以很方便地在不同設(shè)備間進(jìn)行復(fù)制、剪切和粘貼操作。iCloudDrive新增了可以自動同步文稿和桌面上的文件的選項。Siri語音助手也被添加進(jìn)該版本中。

在macOSSierra中，蘋果公司發(fā)布了名為AppleFileSystem(APFS)的新文件系統(tǒng)，該文件系統(tǒng)面向固態(tài)存儲介質(zhì)設(shè)計，原生支持多種加密方式(如全盤加密、單密鑰加密、多密鑰加密)，但在當(dāng)時的系統(tǒng)中并沒有成為默認(rèn)的文件系統(tǒng)，只是增加了支持而已。

macOS10.13發(fā)布于2017年9月，代號為HighSierra。在該版本中，APFS成為默認(rèn)的文件系統(tǒng)，取代了之前已使用多年的文件系統(tǒng)HFS+。新增的高效視頻編碼(HighEfficiencyVideoCoding，HEVC)支持對數(shù)字視頻相關(guān)的取證提出了新的挑戰(zhàn)。

macOS10.14發(fā)布于2018年9月，代號為Mojave。這是最后一個可運(yùn)行32位應(yīng)用的macOS版本。該版本新增了與iOS系統(tǒng)中的股市、語音備忘錄和家庭App類似的應(yīng)用程序。Mac和iPhone的互通功能進(jìn)一步加強(qiáng)，用戶可以用iPhone就近拍張照片或掃描文檔，然后讓它自動出現(xiàn)在Mac上。

2019年蘋果發(fā)布macOS10.15，代號Catalina。macOSCatalina用AppleMusic、ApplePodcasts和AppleTV取代了已存在多年的經(jīng)典iTunes軟件。通過Sidecar分屏功能，用戶的iPad可以作為Mac的一個擴(kuò)展屏幕使用。另外，macOSCatalina的安全性也進(jìn)一步提升，其Gatekeeper功能現(xiàn)可以檢查所有應(yīng)用是否存在已知的安全問題，新的數(shù)據(jù)保護(hù)流程需要所有應(yīng)用在訪問用戶文檔之前獲得許可。

2020年蘋果發(fā)布了macOS11.0，其正式名稱為macOSBigSur。該版本的系統(tǒng)界面進(jìn)行了重新設(shè)計，包括內(nèi)置應(yīng)用的圖標(biāo)、原生應(yīng)用界面的一致性、桌面的程序和菜單欄等方面都有全新的變化；另外，還增加了Safari瀏覽器的翻譯功能等。

6.1.3?macOS取證主要信息源

macOS是類UNIX操作系統(tǒng)，所以從取證角度上與Windows有很大的不同，與UNIX/Linux操作系統(tǒng)的取證存在一些相似點，但作為圖形用戶界面的操作系統(tǒng)，其與一般用于服務(wù)器中時命令行界面的UNIX/Linux操作系統(tǒng)取證操作又有很多差異。

從文件系統(tǒng)目錄結(jié)構(gòu)看，macOS一部分目錄是UNIX通用目錄，如/bin(UNIX命令存放目錄)、/sbin(UNIX系統(tǒng)管理類命令存放目錄)、/usr(第三方程序安裝目錄)、/dev(設(shè)備文件存放目錄)、/etc(系統(tǒng)配置文件存放目錄)、/tmp(臨時文件存放目錄)、/var(存放經(jīng)常變化的文件)。其中，/etc、/tmp、/var目錄在取證中是需要重點關(guān)注的地方，此3個目錄實際上分別為指向/private/etc、/private/tmp和/private/var的鏈接。

macOS還有一部分目錄是其特有的目錄，從概念上講，包括User域(Domain)、Local域、Network域、System域等。

User域包含特定用戶的資源，是用戶的主目錄。本地主目錄的位置為“/Users/用戶名/”(注：用戶名不同，位置也不同。若用戶名為bob，則主目錄位置為/Users/bob/，下同)。若為網(wǎng)絡(luò)用戶，則主目錄的位置為“/Network/Users/用戶名/”。用戶主目錄存有用戶的個人資料和配置，在取證中是需要重點關(guān)注的地方。該目錄下幾個常見的標(biāo)準(zhǔn)目錄是取證時的重要信息資源，如Trash、Applications、Desktop、Documents、Library、Movies、Music、PicturesSites等，如表6-1所示。

macOS中的鑰匙串功能保存著操作系統(tǒng)中的各種密鑰、應(yīng)用程序密碼、網(wǎng)站密碼、無線網(wǎng)絡(luò)密碼、證書文件，往往會存有一些對案件調(diào)查有利的信息。鑰匙串界面如圖6-2所示。圖6-2鑰匙串界面

macOS操作系統(tǒng)中提供了很多便利的程序，如郵件客戶端、備忘錄、便箋、提醒事項、信息等，往往在這些應(yīng)用中會存有一些關(guān)鍵信息，對調(diào)查取證有很大的幫助。

6.2?macOS系統(tǒng)取證

6.2.1?macOS支持的文件系統(tǒng)及特點1.?HFS+macOS10.12及之前版本的macOS主要使用HFS+?文件系統(tǒng)，HFS+?是HFS文件系統(tǒng)的更新版本，又名HFSPlus、HFSExtended、MacOSExtended。HFS+?改進(jìn)了HFS文件系統(tǒng)的結(jié)構(gòu)和對數(shù)據(jù)管理中存在的不足。HFS+?文件系統(tǒng)的主要特點體現(xiàn)在以下幾個方面。

1)采用32位數(shù)記錄分配塊數(shù)量

HFS和HFS+文件系統(tǒng)對磁盤卷采用分塊進(jìn)行分配，將一個卷分成等大的分配塊(AllocationBlocks)。

2)目錄樹節(jié)點大小增加到4KB

HFS文件系統(tǒng)的目錄樹節(jié)點大小為512B；由于HFS+?文件系統(tǒng)目錄樹索引節(jié)點需要存儲附加指針和節(jié)點描述符兩個關(guān)鍵值，因此HFS+?文件系統(tǒng)的目錄樹節(jié)點大小增加到4KB。

3)單一文件大小得到提升

HFS文件系統(tǒng)的單一文件大小上限為231bit，而HFS+?文件系統(tǒng)的單一文件大小最大可達(dá)到263bit。

4)支持長文件名

HFS文件系統(tǒng)對文件名最長支持到31個字符；而HFS+文件系統(tǒng)對文件名采用Unicode編碼，最長達(dá)到255個字符。

2.?APFS

蘋果公司在2016年的WWDC(WorldwideDevelopersConference，全球開發(fā)者大會)上正式公布了全新的文件系統(tǒng)APFS，macOS10.12版本中加入了實驗性的APFS文件系統(tǒng)支持，在隨后的macOS10.13中，APFS文件系統(tǒng)正式成為系統(tǒng)默認(rèn)的文件系統(tǒng)。蘋果開發(fā)APFS的目的是修復(fù)HFS+中存在的缺陷，該文件系統(tǒng)對閃存/固態(tài)存儲設(shè)備進(jìn)行了優(yōu)化，支持多種加密方法。在相對較小或是很大容量的存儲設(shè)備中都可以使用該文件系統(tǒng)，在蘋果公司多個平臺的操作系統(tǒng)，如macOS、iOS、tvOS、watchOS和audioOS中也使用了APFS。

APFS的主要特點包括以下幾個方面：

(1)寫入時復(fù)制(Copy-on-Write)元數(shù)據(jù)，在崩潰、斷電等情況下保護(hù)數(shù)據(jù)。

(2)文件和目錄克隆不會再重復(fù)占用一遍空間，從而使得克隆更快，更節(jié)省存儲空間。對克隆的文件所做的修改會被寫入其他區(qū)域，與原始文件相同的部分在文件系統(tǒng)中是共享的。

(3)快照功能。保存文件系統(tǒng)的只讀實例，使備份和還原操作變得更高效，可以將文件還原到一個指定的時間點。

(4)空間共享。多個APFS文件系統(tǒng)的卷可以共用一個APFS容器下的物理磁盤空間，每個卷的可用空間都是當(dāng)前容器中的可用空間。支持快速調(diào)整卷大小而不用重新分區(qū)。

(5)加密支持是APFS設(shè)計中重要的一部分，APFS支持全盤加密、文件加密、敏感元數(shù)據(jù)加密。根據(jù)系統(tǒng)和硬件的不同，APFS使用AES-XTS或AES-CBC進(jìn)行加密。除支持單密鑰加密外，APFS還支持多密鑰加密。在多密鑰加密模型中，每個文件使用不同的密鑰進(jìn)行加密，敏感元數(shù)據(jù)使用其他密鑰進(jìn)行加密。多密鑰加密確保了數(shù)據(jù)的安全，即使獲取了設(shè)備密鑰，依然無法解密部分文件。

(6)稀疏文件存儲。只有當(dāng)真正需要存儲空間時才會分配空間，可以節(jié)省磁盤空間，用以存儲更大的文件。

(7)原子級安全存儲基元(AtomicSafe-savePrimitives)。從用戶的角度來看，事務(wù)要么完成，要么不完成。

在終端執(zhí)行diskutilapfslist命令，可以查看APFS容器中的卷列表，如圖6-3所示。圖6-3查看APFS容器中的卷列表

3.其他

除了支持HFS、HFS+、APFS這些macOS獨有的文件系統(tǒng)外，macOS還支持FAT、FAT32、ExFAT的讀寫，支持讀取微軟的NTFS文件系統(tǒng)，但需要安裝第三方驅(qū)動程序才能實現(xiàn)寫入操作。所以，在對macOS操作系統(tǒng)進(jìn)行在線取證的操作中推薦使用ExFAT文件系統(tǒng)的外部磁盤，這樣也可以方便地讀取Windows操作系統(tǒng)機(jī)器中的數(shù)據(jù)。

目前，大多取證軟件對APFS的支持還不是很完善，EnCaseForensics在V8.07中新增了對APFS的支持，BlackBagTechnologies公司的Blacklight2018已完全支持對APFS的分析，WinHex/X-WaysForensics目前還只能識別APFS分區(qū)卻不能解析文件，ParagonSoftware公司的APFSforWindows支持在Windows操作系統(tǒng)中掛載包含APFS文件系統(tǒng)的磁盤。

6.2.2?macOS日志文件、配置文件分析

1.常見系統(tǒng)的基本信息

macOS操作系統(tǒng)的基本信息主要包括產(chǎn)品名稱、當(dāng)前系統(tǒng)版本、完整計算機(jī)名、主機(jī)名和最后登錄用戶等，它們分別存放在?/System/Library/CoreServices/SystemVersion.plist、/Library/Preferences?/SystemConfiguration/preferences.plist、/Library/Preferences/com.apple.loginwindow.plist中。

Plist(PropertyList，屬性列表)是一種用來存儲序列化后的對象的文件。屬性列表文件的擴(kuò)展名為.plist，因此通常被稱為Plist文件。Plist文件中存儲的數(shù)據(jù)是抽象的，其采用的文件格式可以不止一種，有XML格式的文件，也有二進(jìn)制格式的文件。在macOS中，Plist通常用于存儲配置文件、歷史記錄文件。蘋果公司的開發(fā)工具Xcode中包含一個可以以樹形結(jié)構(gòu)查看與編輯Plist文件的工具。

/System/Library/CoreServices/SystemVersion.plist中保存了當(dāng)前系統(tǒng)版本、產(chǎn)品版權(quán)等信息，文件內(nèi)容如圖6-4所示。其中，ProductBuildVersion、ProductVersion均為當(dāng)前版本信息。圖6-4?SystemVersion.plist文件內(nèi)容

/Library/Preferences/SystemConfiguration/preferences.plist中保存了計算機(jī)名、主機(jī)名等信息，文件內(nèi)容如圖6-5所示。其中，ComputerName為完整的計算機(jī)名，LocalHostName為主機(jī)名。圖6-5?preferences.plist文件內(nèi)容

/Library/Preferences/com.apple.loginwindow.plist中保存了最后登錄的用戶信息，如圖6-6所示。其中，lastUserName為最后登錄的用戶的用戶名。圖6-6?com.apple.loginwindow.plist文件內(nèi)容

/Library/Receipts/InstallHistory.plist中保存了系統(tǒng)和應(yīng)用的安裝記錄，如圖6-7所示。其中，Item0為macOS操作系統(tǒng)安裝的記錄，Item1向后的記錄則包含了后續(xù)的應(yīng)用安裝、在取證中常用到的其他一些數(shù)據(jù)保存位置如表6-2所示。圖6-7?InstallHistory.plist文件內(nèi)容

2.日志文件的取證

日志文件是macOS常見的取證信息來源，一般日志文件位于/private/var/log目錄下。其中，有一些日志與Linux或UNIX相同，此處不另行闡述；也有一些特殊日志或特殊格式的日志。

在private/var/log目錄下，常見的日志文件有system.log、system.log.0.gz，通過這些日志文件可以獲得開關(guān)機(jī)記錄的用戶名和時間，如圖6-8所示。圖6-8?private/var/log目錄下的系統(tǒng)日志

macOS的部分系統(tǒng)日志文件擴(kuò)展名為?.asl(AppleSystemLogger)，可使用控制臺程序打開它們，如圖6-9所示。通過網(wǎng)址?/*/documentation/os/logging*/可查看日志文件的具體介紹。圖6-9使用控制臺程序打開?.asl文件

另外，在macOS10.12版本以后，蘋果公司采用了一種新的日志UnifiedLog，蘋果公司對外不公開該文件格式，僅提供讀寫日志的接口。該日志存儲在?/var/db/diagnostics和/var/db/uuidtext兩個目錄下，其中包含大量的信息，如網(wǎng)絡(luò)連接、USB使用記錄信息、系統(tǒng)啟動信息、系統(tǒng)備份、郵件同步、iCloud連接設(shè)備等。

除了使用專用取證工具對這些信息進(jìn)行自動分析外，還可以使用/usr/bin/log命令或者蘋果公司提供的應(yīng)用控制臺工具進(jìn)行分析。

6.2.3?macOS網(wǎng)絡(luò)信息分析

在macOS中，計算機(jī)網(wǎng)絡(luò)配置主要查看/Library/Preferences/SystemConfiguration/preferences.plist文件，在private/var/db/dhcpclient/leases/目錄下存儲著通過DHCP獲取的詳細(xì)網(wǎng)絡(luò)配置信息，如圖6-10所示。有關(guān)網(wǎng)絡(luò)連接或網(wǎng)絡(luò)行為的信息可以通過對相關(guān)應(yīng)用的日志進(jìn)行分析。

圖6-10?DHCP網(wǎng)絡(luò)配置信息

6.2.4?macOS瀏覽器信息分析

Safari是macOS中常用的瀏覽器，老版本的Safari瀏覽記錄以Plist格式的文件保存在“/Users/用戶名/Library/Safari”目錄中，文件名為History.plist。History.plist中的WebHistoryDomains.v2為訪問的網(wǎng)址的主域名，WebHistoryDates中包含訪問的網(wǎng)址、title(頁面標(biāo)題)、visitCount(訪問次數(shù))、lastVisitedDate(最后訪問時間)等。新版本的Safari瀏覽記錄以SQLite格式的數(shù)據(jù)庫文件保存在“/Users/用戶名/Library/Safari”目錄中，文件名為History.db。

SQLite是遵守ACID(AtomicityConsistencyIsolationDurability，原子性、一致性、隔離性、耐久性)的關(guān)系型數(shù)據(jù)庫管理系統(tǒng)，它是由D.RichardHipp使用C語言編寫的開放源代碼的嵌入式數(shù)據(jù)庫引擎。與許多其他數(shù)據(jù)庫管理系統(tǒng)不同，SQLite不是一個客戶端/服務(wù)器結(jié)構(gòu)的數(shù)據(jù)庫引擎，它被集成在用戶程序中，支持大部分主流操作系統(tǒng)，在iOS和Android這類移動平臺操作系統(tǒng)中使用非常廣泛。有很多免費的第三方工具可以用來查看和編輯SQLite數(shù)據(jù)庫文件，如DBBrowserforSQLite(http://sqlitebrow)。

History.db中的history_items、history_visits表中的數(shù)據(jù)為瀏覽器的歷史記錄，如圖6-11和圖6-12所示。其中，history_items表中的url為頁面鏈接，domain_expansion為鏈接的部分域名，visit_count為該鏈接的總訪問次數(shù)；history_visits表中的visit_time為訪問時間，title為頁面標(biāo)題，history_item的值為對應(yīng)history_items表中的id值。圖6-11history_items表中的內(nèi)容圖6-12history_visits表中的內(nèi)容

在菜單欄中選擇“歷史記錄”→“顯示所有歷史記錄”命令，顯示的歷史記錄如圖6-13所示。圖6-13歷史記錄

Safari的書簽以Plist格式的文件保存在“/Users/用戶名/Library/Safari”目錄中，文件名為Book