钥匙串

对手可能会从钥匙串中获取凭据。钥匙串（或钥匙串服务）是macOS的凭据管理系统，存储账户名称、密码、私钥、证书、敏感应用数据、支付数据和安全笔记。有三种类型的钥匙串：登录钥匙串、系统钥匙串和本地项目（iCloud）钥匙串。默认的钥匙串是登录钥匙串，它存储用户密码和信息。系统钥匙串存储操作系统访问的项目，例如主机上用户之间共享的项目。本地项目（iCloud）钥匙串用于与Apple的iCloud服务同步的项目。 可以通过钥匙串访问应用程序或使用命令行实用程序security查看和编辑钥匙串。钥匙串文件位于~/Library/Keychains/、/Library/Keychains/和/Network/Library/Keychains/。(引用: Keychain Services Apple)(引用: Keychain Decryption Passware)(引用: OSX Keychain Schaumann) 对手可能会从钥匙串存储/内存中收集用户凭据。例如，命令security dump-keychain –d将从~/Library/Keychains/login.keychain-db转储所有登录钥匙串凭据。对手还可能直接从~/Library/Keychains/login.keychain文件读取登录钥匙串凭据。这两种方法都需要密码，其中登录钥匙串的默认密码是当前用户登录macOS主机的密码。(引用: External to DA, the OS X Way)(引用: Empire Keychain Decrypt)