时间过的真快,不知不觉在天宇宁达直播课群学习《MacOS取证入门》已经六周。
俗话说,总结是促进学习的最好方式,在此整理了一些听课笔记,供大家收藏。也欢迎了解苹果取证的学员们在此文后留言补充您的学习笔记,让更多人受益!
1、苹果取证对工作人员基本能力的要求?
做苹果取证必须熟悉苹果设备,掌握苹果电脑的基本操作技能,掌握苹果电脑取证的注意事项。
2、勘查现场遇到苹果电脑第一步做什么?
首先,碰到苹果机不要怕,先看状态,判断机器是开机、关机、还是休眠,再看电脑底部设备编号查询出厂年代,判断是否具备T2安全芯片。查看电脑的加密状态,判断是否启用了FileVault磁盘加密。判断当前苹果电脑的Windows系统是运行在虚拟机中,还是Bootcamp下的完整Windows系统。好比治病,望闻问切,观察是分析事物的第一步,也是取证工作的前提。
3、苹果取证过程中需掌握的常用按键有哪些?
启动过程中,按Option进入启动界面,按T进入Target模式,按Command+R进入恢复模式界面。当需要强制终止运行程序时,用Command+ Option+Esc(相当于windows的Ctrl+Alt+Del)。
须知:Command是Mac里最重要的修饰键,在多数情况下相当于Windows下的Ctrl键。
4、掌握如何进入Target目标磁盘模式对于取证有什么价值?
进入Target目标磁盘模式,是获取T2加密苹果电脑的优选方法,但也不是万能的,只读加载工具和用户密码仍然是重中之重。
5、利用取证盘启动苹果电脑会遇到哪些常见问题?
用WindowsPE,FE,Linux, macOS Base System启动苹果电脑方法各不同。为了适应不同型号的苹果电脑,建议用特制的macOS Base System。
启动过程蓝屏、停滞
启动后,未发现内置硬盘
启动后,无法控制鼠标和键盘
启动过程加载了内置硬盘,造成数据改动,不能保证证据原始性
按Option键后根本无法出现启动磁盘
启动后提示输入管理员密码解密磁盘
被设置禁止从从外置磁盘启动
启动后不经过外置磁盘直接进入了macOS登陆界面
无法进入目标磁盘模式
6、苹果电脑镜像的常见格式有哪些?
DMG格式镜像,便于利用macOS平台进行后期分析;DD镜像,用于所有分析工具;KFF/KFF4格式。取证人员须根据所选择的取证工具,决定获取镜像的格式类型。
7、启动苹果电脑的方法演变是怎么样的?哪个方法目前在取证中最适用呢?
启动苹果电脑的方法有很多种,早期是通过光盘启动,随后又出现了U盘(Paladin),随着技术的发展和人们需求的变化,近十年盛行一些工具是Recon Imager、MacQuisition, 为了更方便国人的使用习惯和解决免费、兼容性、速度的问题,郭老师还研发了深度取证系统、多通道取证系统等一系列的工具。同时,在启动连接接口使用方面,苹果电脑接口少,在有多种接口(USB、FireWire、雷电3)可选的情况下,首选雷电3接口,它是最高效的,传输速度更快!
8、为了更好的保持苹果电脑数据完整属性和数据的原始性,取证分析时应该用怎样的思路?
用特制的苹果系统获取苹果电脑数据,由于底层相通,数据完整性更好,获取数据更便捷、更高效;用苹果系统分析苹果数据,分析不同文件被Spotlight保存的元数据属性;用苹果系统的APP查看对应格式文件。
9、什么是T2芯片?哪些型号苹果电脑有T2加密芯片?
T2芯片,全称为T2安全芯片,主要功能就是为Mac系列的数据安全保驾护航。与此同时,他也有着一个充当类似于M系列处理器的一个协处理器作用。近两年出产的苹果计算机基本具备T2加密芯片。
10、具有T2安全芯片的苹果电脑,FileVault文件保险箱是默认开启的吗?
从图中可以看到,新购买的苹果计算机没有默认开启文件保险箱。用户后续可能会根据自己的喜好,决定何时启用FileVault加密。
11、苹果电脑取证的准备工作有哪些?
物品准备方面:
同时,良好的判断力是准备充分的重要因素,需要知道从如下方面入手去了解苹果电脑。
12、苹果计算机取证分析技术的面临的挑战是?
取证需要分析操作系统本身的数据和各种应用的数据,macOS更新快,应用种类繁多,没有一个工具是可以完美地解决macOS数据分析问题,因此需要多种工具如法证通、取证大师、MyHex、Sumuri RECON、Blacklight、Magnet AXIOM、Belkasoft Evidence Center等取证软件相互配合,需要自动化分析和手工分析相配合。特别是很多APP的痕迹尚无取证工具支持自动解析,需要更多地借助手工分析。同时,有时只有macOS原生系统,才能对某些苹果特有的元数据进行分析
13、不同的分析方式有什么不同的侧重点?它们在取证工作中的占比一般是怎么样的?
说明:自动化的取证工具在用户熟悉的Windows环境下操作,用户易上手,但是对macOS特有格式文件、macOS自有元数据支持不好,可以处理50-60%的文档、图片和部分APP数据的分析。
14、哪里可以快速获得macOS取证的python脚本?有什么python工具推荐?
通过必应国际版,直接搜索“macOS Forensic python”,可以得到很多开源免费的资源。讲师特别推荐了免费开源的工具mac_apt,此工具具有如下特点:
支持对e01, VMDK, DD,split-DD,DMG格式镜像的分析
支持XLSX, CSV, Sqlite格式输出
可以分析文件/遗留痕迹并导出
支持zlib、lzvn、lzfse压缩文件格式
支持本地HFS&APFS解析器
可读取Spotlight数据库和统一日志文件。
15、如何构建理想的MacOS取证分析环境?
MacOS取证需要多种工具、途径相结合,理想的macOS数据分析,应该利用mocOS和Windows配合分析。因为macOS下,有一些特有的数据,只能在macOS系统下查看,一些特有的元数据,只能在macOS下过滤和搜索。虽然Windows取证工具能够解决一部分数据过滤、搜索、预览、数据库解析,但是,有些特有的元数据、Plist文件、数据库文件,仍需在macOS下进行分析。
16、讲师重点推荐了哪些取证工作中可以用的虚拟机软件?
macOS下的虚拟机软件有Virtual Box、vmware Fusion等,但是郭老师用的比较多的是Virtual Box和Parallels Desktop。
Virtual box 推荐理由:可在Windows、macOS、Linux三个系统跨平台使用,兼容性好
Parallels Desktop 推荐理由:在Windows和macOS系统中数据交换、协同分析非常方便。
而作为取证分析目标来说,这三种虚拟机磁盘都是在苹果取证分析中需要重点关注的。实操中,分析人员应该主动去发现VHD、VMDK、VDI等虚拟磁盘文件。例如Parallels Desktop,虚拟机的包文件扩展名是*.PVM。解开包文件,可发现 扩展名为*.HDD的虚拟磁盘镜像。而真正的虚拟磁盘文件,又在HDD包文件中,扩展名是*.hds。目前X-Ways Forensics尚不支持*.hds镜像格式解析。Myhex后续版本将加入对.hds镜像格式解析。
17、Macos下哪些是取证工作者需要重点关注的目录?
MacOS下值得关注的目录很多,Library、用户的和全局的分别有一个资源库。
取证工作中推荐一定要关注以下三个路径,他们包含的应用数据、痕迹数据较多。
Users/用户/Library/Application Support
Users/用户/Library/Container
/Library
18、如何查看终端程序输入的命令和时间?
熟悉Linux的朋友都是知道,可以通过分析.bash_history、.zsh_history文件查看曾经输入的终端命令。但在macOS中,如果一个用户启用了多个终端窗口,在不同时间分别在不同终端窗口中输入了不同的命令,那么如何分析命令的历史呢?利用开源工具mac_apt,可以对.bash_sessions目录下的多开终端历史痕迹进行分析。注意看看结果中的时间信息啊。
19、iMoive的视频编辑痕迹如何分析?
iMovie是一个苹果系统自带的APP,可以方便地进行视频创作。其实,用户创作视频时使用的原始素材都保留在 iMovie剪辑资源库中,包括原始视频、图片、声音文件等。当然,如果仔细分析时间属性和Plist文件,你还可以分析出用户导入原始素材、生成的剪辑视频的时间、存储位置和文件名。
20、苹果系统中的时间规则和Windows系统一样吗?
分析macOS数据,取证人员不要套用自己所熟悉的Windows中的创建、修改、访问、记录更新的时间规则。macOS的创建时间,并不等同于Windows的创建时间。因此,对于macOS时间分析,取证人员应该更多地去分析修改时间、添加时间,以及Spotlight记录的“上次打开时间”。同时需要提醒一下,大家日常使用的Windows取证工具,基本都不支持“上次打开时间”的分析。这个时间属性,是macOS的Spotlight特有的。
相关阅读
126
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
