🔥 热搜 🔥
上海习近平新疆鄂州父女瓜乌鲁木齐疫情H工口小学生赛高习明泽芊川一笑图包印尼排华
分类
社会娱乐国际人权科技经济其它
🔥 热搜 🔥
百度今日热点微信公众平台贴吧opggdnf私服百度贴吧知乎dnf公益服百度傻逼
分类
社会娱乐国际人权科技经济其它
查看原文
其他

《MacOS使用痕迹及调查》线上分享成功举办

天宇宁达 CFlab 2022-10-02

点击上方蓝字关注我们!


天宇宁达联合Magnet公司共同举办的线上分享《MacOS使用痕迹及调查》于2020年3月17日上午成功举办。


课程内容
本次分享由Magnet公司专家围绕苹果文件系统APFS基础知识、HFS+与APFS差异、MacOS使用痕迹、AXIOM的痕迹恢复、以及如何成功进行苹果系统调查等话题进行展开。本次课程,百余名苹果取证技术爱好者、取证调查工作人员分别通过Magnet直播平台与天宇宁达转播的形式进行线上学习。

某学员听课笔记


本次分享包含满满的干货,一堂课下来,很多对苹果取证了解不深的小伙伴都表示受益匪浅。
  • 关于苹果文件系统的格式
目前苹果系统采用的是APFS( Apple File System)格式。曾经在1998年以来一直使用的HFS+(分层文件系统增强版)。

  • APFS的发展过程与分析价值
APFS最初在2016版的MacOS Sierra(10. 12)预览版推出,2017版的Mac0S High Sierra (10. 13) 开始全面支持APFS,i0S 10. 3也开始支持APFS。APFS是一个适用于 macOS、iOS、tvOS 和 watchOS 近乎所有Apple产品的文件系统,深入研究这种文件系统很重要。

  • APFS 与HDS+两种文件系统的差异 
  • 面对APFS在文件系统级别对数据进行了加密的MacOS如何取证
APFS的加密是以卷为单位进行加密,“解锁” APFS 卷也不会生成特殊的处于解密状态的块设备。所以取证分析工具必须能够提供APFS卷的解密能力,而且在FileVault加密开启的情况,一定需要对目标设备做全盘镜像的设备(例如天宇宁达的蜂鸟是很好的选择),再通过AXIOM进行解密。

  • 如何针对MacOS痕迹进行分析和取证
分析痕迹和文件的时候需要着重留意时间戳,通过AXIOM可以轻松通过如下方式实现对Macos 的痕迹分析:

 (1) 分析大量活动的SQLite数据库
通过分析系统中的各个SQLite数据库,分析用户日常应用程序活动、屏幕使用的应用、外接设备情况、浏览器历史记录、通过屏幕背光状态变化判断设备使用痕迹、以及运用软件的安装卸载记录等等。

(2)分析BASH历史记录
Bash是一种基于Unix 的shell 程序,用于MacOS和Linux操作系统。在axiom中会显示之前所有的历史记录包括最开始从文件中读取的历史记录,以及当前会话产生的记录。

(3) 分析FSEvents日志
Apple FSEvents 对于每个苹果取证人员而言都是非常宝贵的证物,它记录着文件系统发生的变化, 它被TimeMachine 和 Splotlight 等操作系统的多个组件使用。类似于Windows系统的NTFS日志(该日志记录了NTFS文件系统的变化,并将数据存储在UsnJrnl:$J中),FSEvents也一直记录了APFS文件系统的变化,并将数据存储在FSEvent日志文件中。通过解析FSEvent日志,我们可以分析出文件系统曾发生过的事件,如文件、文件夹、符号链接和硬链接的创建、删除、重命名、修改、权限更改等。其中有价值的日志包括:安装和卸载外部驱动器和磁盘映像、用户配置目录中的活动、文档编辑、互联网活动、移动到垃圾篓的文件,下载的文件等等。

(4)从其他方面分析如USB连接、已隔离文件(Quarantined Files)、Spotlight元数据和扩展属性、AirDrop、Spotlight快捷方式、Wallet等痕迹也都可以通过AXIOM进行分析展示。

温馨提示

由于网络问题线上效果不佳或者错过了本次线上分享的小伙伴们,点击“阅读原文”,联系天宇宁达客户代表申请录播视频提取码学习吧。

近期,天宇宁达技术团队还将陆续推出一系列的技术分享类课程。赶快来留言或者识别下方二维码告诉我们您的想法吧。让我们相聚网络,共同成长。


扫描二维码,让我们更懂你


关于我们


北京天宇宁达科技有限公司创建于 2016 年,前身为 2009 年的北京天宇宁科技有限公司。历经十余年的发展与积累,天宇宁达已成为国内电子数据取证行业卓越领先的产品与解决方案供应商,同时也是国内知名的电子数据专业取证服务与培训机构。


点击下方“阅读原文”获取课程视频链接(向客户代表申请提取码)。

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存