1.一種基于macOS系統(tǒng)的在線取證方法，其特征在于，包括以下步驟：

檢測(cè)取證對(duì)象是否開啟了系統(tǒng)保護(hù)，所述取證對(duì)象為應(yīng)用macOS操作系統(tǒng)的計(jì)算機(jī)；

若所述取證對(duì)象開啟了所述系統(tǒng)保護(hù)，則重啟所述取證對(duì)象進(jìn)入所述macOS系統(tǒng)的恢復(fù)模式以關(guān)閉所述系統(tǒng)保護(hù)，再重啟所述取證對(duì)象再次進(jìn)入所述macOS操作系統(tǒng)；

識(shí)別所述取證對(duì)象的磁盤或分區(qū)采用的文件系統(tǒng)的類別，所述文件系統(tǒng)的類別包括APFS文件系統(tǒng)和HFS+文件系統(tǒng)；

判斷所述磁盤或所述分區(qū)是否加密，若加密，則進(jìn)一步對(duì)應(yīng)識(shí)別到的所述文件系統(tǒng)的類別對(duì)所述磁盤或所述分區(qū)進(jìn)行解密，并從解密后的磁盤或分區(qū)中提取明文數(shù)據(jù)；

其中，所述識(shí)別所述取證對(duì)象的磁盤或分區(qū)采用的文件系統(tǒng)的類別包括以下步驟：讀取所述取證對(duì)象中所述macOS操作系統(tǒng)的動(dòng)態(tài)I/O注冊(cè)表數(shù)據(jù)庫；從所述動(dòng)態(tài)I/O注冊(cè)表數(shù)據(jù)庫中找到I/O塊存儲(chǔ)驅(qū)動(dòng)程序所在的硬盤存儲(chǔ)節(jié)點(diǎn)；自所述I/O塊存儲(chǔ)驅(qū)動(dòng)程序所在的硬盤存儲(chǔ)節(jié)點(diǎn)開始，往下遍歷各硬盤存儲(chǔ)節(jié)點(diǎn)以獲取屬性IO?Class的值，所述屬性IO?Class的值為Apple?APFS?Container?Scheme或Core?Storage?Physical；根據(jù)所述屬性IO?Class的值判斷所述取證對(duì)象的磁盤或分區(qū)采用的文件系統(tǒng)的類別，若所述屬性IO?Class的值為Apple?APFS?Container?Scheme，則表示所述取證對(duì)象的磁盤或分區(qū)采用的是APFS文件系統(tǒng)，若所述屬性IO?Class的值為Core?Storage?Physical則表示所述取證對(duì)象的磁盤或分區(qū)采用的是HFS+文件系統(tǒng)；

當(dāng)識(shí)別到的所述磁盤或所述分區(qū)為HFS+文件系統(tǒng)時(shí)，對(duì)所述磁盤或所述分區(qū)解密及提取明文數(shù)據(jù)包括以下步驟：執(zhí)行對(duì)應(yīng)所述HFS+文件系統(tǒng)的解密命令對(duì)所述磁盤或者所述分區(qū)進(jìn)行解密，產(chǎn)生解密后的磁盤或者分區(qū)；讀取所述解密后的磁盤或者分區(qū)中的明文數(shù)據(jù)，以制作所述解密后的磁盤或者分區(qū)中明文數(shù)據(jù)的鏡像；

當(dāng)識(shí)別到的所述磁盤或所述分區(qū)為APFS文件系統(tǒng)時(shí)，對(duì)所述磁盤或所述分區(qū)解密及提取明文數(shù)據(jù)包括以下步驟：執(zhí)行對(duì)應(yīng)所述APFS文件系統(tǒng)的解密命令對(duì)所述磁盤或者所述分區(qū)進(jìn)行解密，解密后的磁盤或者分區(qū)中數(shù)據(jù)以明文數(shù)據(jù)形式掛載至預(yù)設(shè)路徑下；讀取所述預(yù)設(shè)路徑下的明文數(shù)據(jù)，以直接提取所述明文數(shù)據(jù)。