MacOS使用痕迹及调查

时间:2024-03-23 14:15:31

• 关于苹果文件系统的格式
目前苹果系统采用的是APFS( Apple File System)格式。曾经在1998年以来一直使用的HFS+(分层文件系统增强版)。

• APFS的发展过程与分析价值
APFS最初在2016版的MacOS Sierra(10. 12)预览版推出,2017版的Mac0S High Sierra (10. 13) 开始全面支持APFS,i0S 10. 3也开始支持APFS。APFS是一个适用于 macOS、iOS、tvOS 和 watchOS 近乎所有Apple产品的文件系统,深入研究这种文件系统很重要。

• APFS 与HDS+两种文件系统的差异 MacOS使用痕迹及调查

• 面对APFS在文件系统级别对数据进行了加密的MacOS如何取证
APFS的加密是以卷为单位进行加密,“解锁” APFS 卷也不会生成特殊的处于解密状态的块设备。所以取证分析工具必须能够提供APFS卷的解密能力,而且在FileVault加密开启的情况,一定需要对目标设备做全盘镜像的设备(例如天宇宁达的蜂鸟是很好的选择),再通过AXIOM进行解密。

• 如何针对MacOS痕迹进行分析和取证
分析痕迹和文件的时候需要着重留意时间戳,通过AXIOM可以轻松通过如下方式实现对Macos 的痕迹分析:

(1) 分析大量活动的SQLite数据库
通过分析系统中的各个SQLite数据库,分析用户日常应用程序活动、屏幕使用的应用、外接设备情况、浏览器历史记录、通过屏幕背光状态变化判断设备使用痕迹、以及运用软件的安装卸载记录等等。

(2)分析BASH历史记录
Bash是一种基于Unix 的shell 程序,用于MacOS和Linux操作系统。在axiom中会显示之前所有的历史记录包括最开始从文件中读取的历史记录,以及当前会话产生的记录。

(3) 分析FSEvents日志
Apple FSEvents 对于每个苹果取证人员而言都是非常宝贵的证物,它记录着文件系统发生的变化, 它被TimeMachine 和 Splotlight 等操作系统的多个组件使用。类似于Windows系统的NTFS日志(该日志记录了NTFS文件系统的变化,并将数据存储在UsnJrnl:$J中),FSEvents也一直记录了APFS文件系统的变化,并将数据存储在FSEvent日志文件中。通过解析FSEvent日志,我们可以分析出文件系统曾发生过的事件,如文件、文件夹、符号链接和硬链接的创建、删除、重命名、修改、权限更改等。其中有价值的日志包括:安装和卸载外部驱动器和磁盘映像、用户配置目录中的活动、文档编辑、互联网活动、移动到垃圾篓的文件,下载的文件等等。

(4)从其他方面分析
如USB连接、已隔离文件(Quarantined Files)、Spotlight元数据和扩展属性、AirDrop、Spotlight快捷方式、Wallet等痕迹也都可以通过AXIOM进行分析展示。

MacOS使用痕迹及调查