pc取证-番外篇(3)

admin 2022年10月1日11:40:17取证分析评论23 views4109字阅读13分41秒阅读模式

续接上文~,今日macOS取证

pc取证-番外篇(3)


0x01 简介

macOS是基于Unix内核的专门运行在苹果电脑上的图形化操作系统,由美国自主研发,由于是商用性,所以相对来讲安全性较高;


0x02 开机取证

1.macOS系统在解锁、退出睡眠、登录系统、越权操作的时候都需要密码;

2.首先碰到macOS系统电脑不要慌,先看一下机器状态,是否开机、电源状态,再根据电脑底部的设备编号和出厂日期记录下来,查询机器相关信息,看是否有一些默认的参数和设置;

3.确认是否启动 FileVault 磁盘加密 ,在系统偏好设置-安全性与隐私-FileVault 查看是否进行加密;

如果FileVault 开启可能磁盘和u盘都已被加密;

4.判断macOS电脑是否联网,如联网情况下,请及时断开网络,避免用户远程擦除主机数据;

5.判断看到的win是否是真实的,是否是虚拟机全屏桌面;

6.苹果系统基本操作

1.在触摸板三指向上滑动,可以看到每一个运行的状态;

2.Command+Q:结束当前运行进程;

3.Command+R:进入恢复模式界面;

4.Command+tab:切换当前应用程序;

5.Command+ Option+Esc:强制终止某个程序;

6.mac系统下自带的录屏工具QuickTime Player,文件--新建屏幕录屏;

7.Command-Shift-4:截取所选区域屏幕保存到文件;

8.终端使用命令:openssl md5 文件名,计算文件md5

7.对于易丢失数据数据常用获取镜像工具主要 Smart MFT 等

8.注:取证的时候,不要使用NTFS文件系统的移动磁盘,因为macOS需要安装第三方工具才能在NTFS文件系统中写入数据,推荐使用 exFAT 文件系统

9.macOS 文件类型:

1.〔*.exe可执行文件;直接打开〕

2.〔*.rar一种压缩包;用WinRAR打开〕

3.〔*.zip一种压缩包;用WinRAR打开,或者WinXP也可以直接打开〕

4.〔*.iso虚拟光驱;用WinRAR打开,也可用其他虚拟光驱软件〕

5.〔*.docword文档;用Office Word打开〕

6.〔*.ppt幻灯片;用Office PowerPiont打开〕

7.〔*.xls电子表格;用Office Excel打开〕

8.〔*.wpsWPS文档;用金山WPS打开〕

9.〔*.txt文本文档;默认用记事本打开〕

10.〔*.lrc动态歌词;可以用记事本打开〕

11.〔*.rm,*.rmvb高清视频;可以用RealOnePlayer打开〕

12.〔*.mp3,*.wma,*.wav一些音乐〕

13.〔*.jpg,*.bmp,*.gif一些图片,其中gif可以是动态的〕

14.〔*.wfsFlash文件;可以用IE打开,也可用FlashPlayer打开〕

15.〔*.torrentBT文件;可以用BitComet打开〕

16.应用程序:app

17.驱动:kext(plist)

18.字体:ttf

19.屏保:slidesaver

20.文档:pdf,pages

21.压缩归档:zip

22. 镜像:iso,dmg,toast

10.macOS常见文件格式:

1.Pliat(PropertyList):存储各种文件,程序设置及数据内容等;

2.SQLite数据库:后缀不同,但可以通过文件签名来判断,很大一部分数据都是存放在数据库当中;

3.自定义文件格式---通过阅读官方文档或通过逆向工程来找出文件格式:

1.~/Library:存放大部分应用配置;

2.~/Library/Preferences:存放大部分应用配置;

3.~/Library/应用名:对应文件的数据文件大部分都存放在名称命名的文件夹下;

4.~/Library/Application Support:存储部分应用的数据;

5.~/Library/Documents:文档默认存储位置,一小部分程序会将其作为存储路径

11.macOS 系统信息:

1.macOS基本信息都被分别存放在SystemLibraryCoreServicesSystemVersion.plist、LibraryPreferencesSystemConfigurationpreferences.plist和LibraryPreferencescom.apple.loginwindow.plist,这些文件都是plist格式;

2.系统用户数据存放在privatevardbdslocalnodesDefaultusers目录下;

3.网络配置数据存放在LibraryPreferencesSystemConfigurationpreferences.plist;

4. 时区信息存放在LibraryPreferences.GlobalPreferences.plist;

5.系统安装记录10.10LibraryReceiptsInstallHistory.plist;

6.开关机数据存放在privatevarlog目录下的system.log、system.log.0.gz文件中,这些文件是系统日志文件;通过解析这些文件,可以获取到开关机记录的用户名和时间;

7.蓝牙数据存放在LibraryPreferencescom.apple.Bluetooth.plist;

8.无线网络连接数据存放在LibraryPreferencesSystemConfiguration文件夹下的com.apple.airport.preferences.plist;

9. 打印数据存放在privatevarspoolcups目录下,该目录下以c开头的文件cXXXXX存放着打印信息,一个文件对应一个打印任务,每个c开头的文件都有对应的d开头文件dXXXXX-XXX,d开头的文件是打印预览,但是打印完成时d开头的文件会被删除;

10.终端数据存储在Users[UserName]目录下的 .bash_history文件中,该文件使用UTF-8编码存储;

11.内置地图数据存放在UsersUserNameLibraryContainerscom.apple.MapsDataLibraryMaps目录下,GeoHistory.mapsdata文件存放搜索记录,GeoBookmarks.plist文件存放收藏记录;

12.内置备忘录数据存放在Users[UserName]LibraryContainerscom.appLe.NotesDataLibraryNotes目录下的NotesV1.storedata(Mac10.8)、NotesV2.storedata(Mac10.9)或NotesV3.storedata(Mac10.9),这三种解析文件是sqlite数据库文件,且数据库结构相似。而Mac10.11及Mac10.12的备忘录数据存放在Users[UserName]LibraryGroup ContainersGroup.com.apple.notesNoteStore.sqlite;

13.Mac10.10之前,备忘录信息及内容存储在表ZNOTE和表ZNOTEBODY中,备忘录的内容是明文存储的;Mac10.11之后,备忘录信息及内容存储在表ZICCLOUDSYNGOBJECT和表ZICNOTEDATA中,备忘录的内容进行了加密。Mac10.10之前,附件存储在Users[UserName]LibraryContainerscom.apple.NotesDataLibraryCoreDataAttachments目录下,附件信息存储在NotesV3.storedata数据库文件中的表ZATTACHMENT;Mac10.11之后,附件存储在Users[UserName]LibraryGroup ContainersGroup.com.appLe.notesMedia目录下,附件信息存储在NoteStore.sqlite数据库文件中的表ZICCLOUDSYNGOBJECT;

14.iCal日程数据存放在UsersUserNameLibraryCalendars目录下的Calendar Cache文件;

15.通话数据存放在user[username]LibraryApplicationupportCallHistoryDB目录下的CallHistory.storedata文件,而短信数据存放user[username]LibraryMessages目录下的chat.db文件,这两个文件是sqlite数据库文件;


0x03 动态取证

1.数据固定:

1.使用macOS自带的磁盘工具,创建磁盘镜像;磁盘工具可以在磁盘写保护的情况下,创建一个磁盘的dmg格式镜像(类似DD镜像);

2.使用网络复刻机复制硬盘数据;

2.备份数据:

1.数据备份主要目标是backup.db,以下是位置解析:

1.Time machine:备份系统和用户数据的应用数据,,也可以发现一些删除的数据;

2.备份到独立的非本机硬盘,HFS格式的硬盘分区,如:u盘、移动硬盘等;

3.Airport time capsule 美国苹果公司的一款无线硬盘,可以配合Time machine使用

注:dmg文件格式:https://baike.baidu.com/item/dmg/12001324

0x4 本文公众号-安全猎人


关注公众号「安全猎人」
欢迎师傅们加入我的 安全猎人的小屋(添加好友备注加群),一起学习进步~后面不定期发布更多资源,更多惊喜等着大家。

pc取证-番外篇(3)

欢迎 点赞 + 在看、分享本公众号 给更多师傅们哈

❤️
----------------往期精选-----------------
pc取证-番外篇(2)
pc取证-番外篇
Go语言-自学篇-2

Fortify-详解

电子数据取证-计算机系统概论

电子数据取证-电子取证流程与技术

物联网安全测试合集

apk安全测试常用工具

注:
封面来源于壁纸网站:http://www.netbian.com/s/chaogaoqing

原文始发于微信公众号(安全猎人):pc取证-番外篇(3)

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年10月1日11:40:17
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  pc取证-番外篇(3) http://cn-sec.com/archives/1307697.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: