大多数的计算机取证工作主要还是依靠现成的取证软、 硬件, 然而过度的依赖取证工具, 有可能导致某些重要电子证据的遗漏。因此针对操作系统、 文件系统等底层的研究才是进行计算机取证研究的方向。针对Mac OS系统自身的安全机制性能, 分析其自带的安全审计机制在电子取证过程中的应用, 为取证人员提供取证工具所无法检测到的重要电子证据。其中重点探讨了Mac OS的审计日志、 诊断报告、 崩溃日志和Plist文件在进行手动电子取证过程中可提供的大量有价值的电子证据和取证线索。