Mac取证你需要了解的那些事!
1、苹果取证对工作人员基本能力的要求?
做苹果取证必须熟悉苹果设备,掌握苹果电脑的基本操作技能,掌握苹果电脑取证的注意事项。
2、勘查现场遇到苹果电脑第一步做什么?
首先,碰到苹果机不要怕,先看状态,判断机器是开机、关机、还是休眠,再看电脑底部设备编号查询出厂年代,判断是否具备T2安全芯片。查看电脑的加密状态,判断是否启用了FileVault磁盘加密。判断当前苹果电脑的Windows系统是运行在虚拟机中,还是Bootcamp下的完整Windows系统。好比治病,望闻问切,观察是分析事物的第一步,也是取证工作的前提。
3、苹果取证过程中需掌握的常用按键有哪些?
启动过程中,按Option进入启动界面,按T进入Target模式,按Command+R进入恢复模式界面。当需要强制终止运行程序时,用Command+ Option+Esc(相当于windows的Ctrl+Alt+Del)。
须知:Command是Mac里最重要的修饰键,在多数情况下相当于Windows下的Ctrl键。
4、掌握如何进入Target目标磁盘模式对于取证有什么价值?
进入Target目标磁盘模式,是获取T2加密苹果电脑的优选方法,但也不是万能的,只读加载工具和用户密码仍然是重中之重。
5、利用取证盘启动苹果电脑会遇到哪些常见问题?
用WindowsPE,FE,Linux, macOS Base System启动苹果电脑方法各不同。为了适应不同型号的苹果电脑,建议用特制的macOS Base System。
- 启动过程蓝屏、停滞
- 启动后,未发现内置硬盘
- 动后,无法控制鼠标和键盘
- 启动过程加载了内置硬盘,造成数据改动,不能保证证据原始性
- 按Option键后根本无法出现启动磁盘
- 启动后提示输入管理员密码解密磁盘
- 被设置禁止从从外置磁盘启动
- 启动后不经过外置磁盘直接进入了macOS登陆界面
- 无法进入目标磁盘模式
6、苹果电脑镜像的常见格式有哪些?
DMG格式镜像,便于利用macOS平台进行后期分析;DD镜像,用于所有分析工具;KFF/KFF4格式。取证人员须根据所选择的取证工具,决定获取镜像的格式类型。
7、启动苹果电脑的方法演变是怎么样的?哪个方法目前在取证中最适用呢?
启动苹果电脑的方法有很多种,早期是通过光盘启动,随后又出现了U盘(Paladin),随着技术的发展和人们需求的变化,近十年盛行一些工具是Recon Imager、MacQuisition, 为了更方便国人的使用习惯和解决免费、兼容性、速度的问题,郭老师还研发了深度取证系统、多通道取证系统等一系列的工具。同时,在启动连接接口使用方面,苹果电脑接口少,在有多种接口(USB、FireWire、雷电3)可选的情况下,首选雷电3接口,它是最高效的,传输速度更快!
8、为了更好的保持苹果电脑数据完整属性和数据的原始性,取证分析时应该用怎样的思路?
用特制的苹果系统获取苹果电脑数据,由于底层相通,数据完整性更好,获取数据更便捷、更高效;用苹果系统分析苹果数据,分析不同文件被Spotlight保存的元数据属性;用苹果系统的APP查看对应格式文件。
9、什么是T2芯片?哪些型号苹果电脑有T2加密芯片?
T2芯片,全称为T2安全芯片,主要功能就是为Mac系列的数据安全保驾护航。与此同时,他也有着一个充当类似于M系列处理器的一个协处理器作用。近两年出产的苹果计算机基本具备T2加密芯片。
10、具有T2安全芯片的苹果电脑,FileVault文件保险箱是默认开启的吗?
从图中可以看到,新购买的苹果计算机没有默认开启文件保险箱。用户后续可能会根据自己的喜好,决定何时启用FileVault加密。
11、苹果电脑取证的准备工作有哪些?
物品准备方面:
同时,良好的判断力是准备充分的重要因素,需要知道从如下方面入手去了解苹果电脑。
12、苹果计算机取证分析技术的面临的挑战是?
取证需要分析操作系统本身的数据和各种应用的数据,macOS更新快,应用种类繁多,没有一个工具是可以完美地解决macOS数据分析问题,因此需要多种工具如法证通、取证大师、MyHex、Sumuri RECON、Blacklight、Magnet AXIOM、Belkasoft Evidence Center等取证软件相互配合,需要自动化分析和手工分析相配合。特别是很多APP的痕迹尚无取证工具支持自动解析,需要更多地借助手工分析。同时,有时只有macOS原生系统,才能对某些苹果特有的元数据进行分析。
13、不同的分析方式有什么不同的侧重点?它们在取证工作中的占比一般是怎么样的?
说明:自动化的取证工具在用户熟悉的Windows环境下操作,用户易上手,但是对macOS特有格式文件、macOS自有元数据支持不好,可以处理50-60%的文档、图片和部分APP数据的分析。
14、哪里可以快速获得macOS取证的python脚本?有什么python工具推荐?
通过必应国际版,直接搜索“macOS Forensic python”,可以得到很多开源免费的资源。讲师特别推荐了免费开源的工具mac_apt,此工具具有如下特点:
• 支持对e01, VMDK, DD,split-DD,DMG格式镜像的分析
• 支持XLSX, CSV, Sqlite格式输出
• 可以分析文件/遗留痕迹并导出
• 支持zlib、lzvn、lzfse压缩文件格式
• 支持本地HFS&APFS解析器
• 可读取Spotlight数据库和统一日志文件。
15、如何构建理想的MacOS取证分析环境?
MacOS取证需要多种工具、途径相结合,理想的macOS数据分析,应该利用mocOS和Windows配合分析。因为macOS下,有一些特有的数据,只能在macOS系统下查看,一些特有的元数据,只能在macOS下过滤和搜索。虽然Windows取证工具能够解决一部分数据过滤、搜索、预览、数据库解析,但是,有些特有的元数据、Plist文件、数据库文件,仍需在macOS下进行分析。
16、推荐取证工作中可以用的虚拟机软件?
macOS下的虚拟机软件有Virtual Box、vmware Fusion等,但是郭老师用的比较多的是Virtual Box和Parallels Desktop。
Virtual box 推荐理由:可在Windows、macOS、Linux三个系统跨平台使用,兼容性好
Parallels Desktop 推荐理由:在Windows和macOS系统中数据交换、协同分析非常方便。
而作为取证分析目标来说,这三种虚拟机磁盘都是在苹果取证分析中需要重点关注的。实操中,分析人员应该主动去发现VHD、VMDK、VDI等虚拟磁盘文件。例如Parallels Desktop,虚拟机的包文件扩展名是*.PVM。解开包文件,可发现 扩展名为*.HDD的虚拟磁盘镜像。而真正的虚拟磁盘文件,又在HDD包文件中,扩展名是*.hds。目前X-Ways Forensics尚不支持*.hds镜像格式解析。Myhex后续版本将加入对.hds镜像格式解析。
17、Macos下哪些是取证工作者需要重点关注的目录?
MacOS下值得关注的目录很多,Library、用户的和全局的分别有一个资源库。
取证工作中推荐一定要关注以下三个路径,他们包含的应用数据、痕迹数据较多。
Users/用户/Library/Application Support
Users/用户/Library/Container
/Library
18、如何查看终端程序输入的命令和时间?
熟悉Linux的朋友都是知道,可以通过分析.bash_history、.zsh_history文件查看曾经输入的终端命令。但在macOS中,如果一个用户启用了多个终端窗口,在不同时间分别在不同终端窗口中输入了不同的命令,那么如何分析命令的历史呢?利用开源工具mac_apt,可以对.bash_sessions目录下的多开终端历史痕迹进行分析。注意看看结果中的时间信息啊。
19、iMoive的视频编辑痕迹如何分析?
iMovie是一个苹果系统自带的APP,可以方便地进行视频创作。其实,用户创作视频时使用的原始素材都保留在 iMovie剪辑资源库中,包括原始视频、图片、声音文件等。当然,如果仔细分析时间属性和Plist文件,你还可以分析出用户导入原始素材、生成的剪辑视频的时间、存储位置和文件名。
20、苹果系统中的时间规则和Windows系统一样吗?
分析macOS数据,取证人员不要套用自己所熟悉的Windows中的创建、修改、访问、记录更新的时间规则。macOS的创建时间,并不等同于Windows的创建时间。因此,对于macOS时间分析,取证人员应该更多地去分析修改时间、添加时间,以及Spotlight记录的“上次打开时间”。同时需要提醒一下,大家日常使用的Windows取证工具,基本都不支持“上次打开时间”的分析。这个时间属性,是macOS的Spotlight特有的。
Mac取证你需要了解的那些事!相关推荐
- 购买新Mac后必须做的8件事
如果您是第一次购买 Mac,您需要知道 Apple 在设计其产品时非常注重细节--从物理感觉到操作系统的工作方式.要充分体验 Apple 品牌和 Mac 的强大功能,您需要正确设置设备. 尽管我们都完 ...
- Windows上安装Mac OS虚拟机
最近涉及了iPhone的开发,因此想在家中的机器上安装一个Mac os系统体验和了解一下,遇到了不少的问题,记录一下. 首先是进行虚拟机的安装,可以参考如下的资料: How Install Mac O ...
- Mac清理软件为苹果系统迅速减压
作为一名合格的mac用户,学会对Mac OS X系统进行日常维护是非常有必要的.对于电脑系统而言,日常的维护包括很多种,不同的使用者对维护内容的侧重点不一样,其中最具关注的就是"清理mac系 ...
- “内”忧“外”患,3 万台 Mac 有危险!
整理 | 郑丽媛 出品 | CSDN(ID:CSDNnews) 去年苹果发布的自研 M1 芯片可谓是赚足了眼球,搭载该芯片的 Mac 电脑也成为了许多人争相购买的产品之一.不过彼时刚刚诞生的 M1 M ...
- 在Mac中用快捷键快速插入日期时间
2019独角兽企业重金招聘Python工程师标准>>> 在Windows中有AutoHotkey这个好东东帮我快速插入日期时间,输入[mm然后敲空格就可以了.在Mac中就没有这么好的 ...
- macbook pro python开发_年轻人第一台 Mac,来自一个开发者的 Macbook Pro 2019 16寸简评...
从工作开始,一直就想买个 Mac,但是一直没有买成,虽说有公司配发的 Mac(这也让我从 Macbook Pro 2015 13寸到 Macbook Pro 2017 15寸,到 Macbook Pr ...
- CleanMyMac X2022苹果电脑专业清理Mac加速器软件
CleanMyMac X2023最新免费版苹果电脑专业清理软件,对于Mac电脑用户来说,Cleanmymac X是一款再熟悉不过的电脑清理软件,它是由苹果认证并对外承认的一款第三方清理软件,几乎有95 ...
- 使用Mac自带的局域网远程控制其他Mac
当两台Mac在同一个局域网中,两台Mac想远程控制时很简单的事. 使用Mac自带的屏幕共享就可以实现. 但是注意只能远程控制局域网内的Mac. 打开屏幕共享 在另一台Mac上打开访达,按下Comman ...
- VMware 虚拟机安装 Mac OS X Mountain Lion 苹果系统(vm9.0和Mac OS10.7)
本文是转自vmware虚拟机安装Mac os 苹果桌面操作系统 Mac OS X Mountain Lion(版本号为 Mac OS X v10.8)已于今年 7 月 21 日通过 Mac App S ...
最新文章
- 域名登陆出现400_域名解析错误怎么办?
- 一文了解当今AI的失落
- Java学习之if-else简单方法小程序
- 计蒜客 时间复杂度 (模拟) 洛谷 P3952 时间复杂度
- shell 脚本,将/etc/目录下所有的软链接文件输出
- luogu P4070 [SDOI2016]生成魔咒
- python语言的变量特点随时_python程序设计——基本语言特性
- 做前端工程师,就业方向有哪些?你知道吗
- Vue学习笔记之03v-on事件监听
- solidworks经典实例网盘下载_三菱 PLC FX3U 程序无线下载经典实例
- python3爬虫的简单使用-附百度贴吧等大量实例代码
- spring-05 AOP
- Suppressing Uncertainties for Large-Scale Facial Expression Recognition(2020CVPR)
- LeetCode148经典题目记录(链表排序:快排+递归归并+迭代归并)
- u盘无法打开 计算机限制,u盘无法打开,教您U盘打不开常用修复方法
- linux .otf文件,otf文件扩展名,otf文件怎么打开?
- R语言遍历字符串再拼接复原
- Client network socket disconnected before secure TLS connection was established
- mysql逗号后update_隔mysql逗号
- 《神经科学:探索脑》学习笔记(第2章 神经元和神经胶质细胞)