pc取证-番外篇(3)

本文涉及的产品
密钥管理服务KMS,1000个密钥,100个凭据,1个月
简介: pc取证-番外篇(3)

0x01 简介


macOS是基于Unix内核的专门运行在苹果电脑上的图形化操作系统,由美国自主研发,由于是商用性,所以相对来讲安全性较高;


0x02 开机取证


1.macOS系统在解锁、退出睡眠、登录系统、越权操作的时候都需要密码;

2.首先碰到macOS系统电脑不要慌,先看一下机器状态,是否开机、电源状态,再根据电脑底部的设备编号和出厂日期记录下来,查询机器相关信息,看是否有一些默认的参数和设置;

3.确认是否启动 FileVault 磁盘加密 ,在系统偏好设置-安全性与隐私-FileVault 查看是否进行加密;

如果FileVault 开启可能磁盘和u盘都已被加密;

4.判断macOS电脑是否联网,如联网情况下,请及时断开网络,避免用户远程擦除主机数据;

5.判断看到的win是否是真实的,是否是虚拟机全屏桌面;

6.苹果系统基本操作

1.在触摸板三指向上滑动,可以看到每一个运行的状态;

2.Command+Q:结束当前运行进程;

3.Command+R:进入恢复模式界面;

4.Command+tab:切换当前应用程序;

5.Command+ Option+Esc:强制终止某个程序;

6.mac系统下自带的录屏工具QuickTime Player,文件--新建屏幕录屏;

7.Command-Shift-4:截取所选区域屏幕保存到文件;

8.终端使用命令:openssl md5 文件名,计算文件md5

7.对于易丢失数据数据常用获取镜像工具主要 Smart MFT 等

8.注:取证的时候,不要使用NTFS文件系统的移动磁盘,因为macOS需要安装第三方工具才能在NTFS文件系统中写入数据,推荐使用 exFAT 文件系统

9.macOS 文件类型:

1.〔*.exe可执行文件;直接打开〕

2.〔*.rar一种压缩包;用WinRAR打开〕

3.〔*.zip一种压缩包;用WinRAR打开,或者WinXP也可以直接打开〕

4.〔*.iso虚拟光驱;用WinRAR打开,也可用其他虚拟光驱软件〕

5.〔*.docword文档;用Office Word打开〕

6.〔*.ppt幻灯片;用Office PowerPiont打开〕

7.〔*.xls电子表格;用Office Excel打开〕

8.〔*.wpsWPS文档;用金山WPS打开〕

9.〔*.txt文本文档;默认用记事本打开〕

10.〔*.lrc动态歌词;可以用记事本打开〕

11.〔*.rm,*.rmvb高清视频;可以用RealOnePlayer打开〕

12.〔*.mp3,*.wma,*.wav一些音乐〕

13.〔*.jpg,*.bmp,*.gif一些图片,其中gif可以是动态的〕

14.〔*.wfsFlash文件;可以用IE打开,也可用FlashPlayer打开〕

15.〔*.torrentBT文件;可以用BitComet打开〕

16.应用程序:app

17.驱动:kext(plist)

18.字体:ttf

19.屏保:slidesaver

20.文档:pdf,pages

21.压缩归档:zip

22. 镜像:iso,dmg,toast

10.macOS常见文件格式:

1.Pliat(PropertyList):存储各种文件,程序设置及数据内容等;

2.SQLite数据库:后缀不同,但可以通过文件签名来判断,很大一部分数据都是存放在数据库当中;

3.自定义文件格式---通过阅读官方文档或通过逆向工程来找出文件格式:

1.~/Library:存放大部分应用配置;

2.~/Library/Preferences:存放大部分应用配置;

3.~/Library/应用名:对应文件的数据文件大部分都存放在名称命名的文件夹下;

4.~/Library/Application Support:存储部分应用的数据;

5.~/Library/Documents:文档默认存储位置,一小部分程序会将其作为存储路径

11.macOS 系统信息:

1.macOS基本信息都被分别存放在\System\Library\CoreServices\SystemVersion.plist、\Library\Preferences\SystemConfiguration\preferences.plist和\Library\Preferences\com.apple.loginwindow.plist,这些文件都是plist格式;

2.系统用户数据存放在\private\var\db\dslocal\nodes\Default\users目录下;

3.网络配置数据存放在\Library\Preferences\SystemConfiguration\preferences.plist;

4. 时区信息存放在\Library\Preferences\.GlobalPreferences.plist;

5.系统安装记录\10.10\Library\Receipts\InstallHistory.plist;

6.开关机数据存放在\private\var\log目录下的system.log、system.log.0.gz文件中,这些文件是系统日志文件;通过解析这些文件,可以获取到开关机记录的用户名和时间;

7.蓝牙数据存放在\Library\Preferences\com.apple.Bluetooth.plist;

8.无线网络连接数据存放在\Library\Preferences\SystemConfiguration文件夹下的com.apple.airport.preferences.plist;

9. 打印数据存放在\private\var\spool\cups目录下,该目录下以c开头的文件cXXXXX存放着打印信息,一个文件对应一个打印任务,每个c开头的文件都有对应的d开头文件dXXXXX-XXX,d开头的文件是打印预览,但是打印完成时d开头的文件会被删除;

10.终端数据存储在\Users\[UserName]目录下的 .bash_history文件中,该文件使用UTF-8编码存储;

11.内置地图数据存放在Users\UserName\Library\Containers\com.apple.Maps\Data\Library\Maps目录下,GeoHistory.mapsdata文件存放搜索记录,GeoBookmarks.plist文件存放收藏记录;

12.内置备忘录数据存放在\Users\[UserName]\Library\Containers\com.appLe.Notes\Data\Library\Notes目录下的NotesV1.storedata(Mac10.8)、NotesV2.storedata(Mac10.9)或NotesV3.storedata(Mac10.9),这三种解析文件是sqlite数据库文件,且数据库结构相似。而Mac10.11及Mac10.12的备忘录数据存放在\Users\[UserName]\Library\Group Containers\Group.com.apple.notes\NoteStore.sqlite;

13.Mac10.10之前,备忘录信息及内容存储在表ZNOTE和表ZNOTEBODY中,备忘录的内容是明文存储的;Mac10.11之后,备忘录信息及内容存储在表ZICCLOUDSYNGOBJECT和表ZICNOTEDATA中,备忘录的内容进行了加密。Mac10.10之前,附件存储在\Users\[UserName]\Library\Containers\com.apple.Notes\Data\Library\CoreData\Attachments目录下,附件信息存储在NotesV3.storedata数据库文件中的表ZATTACHMENT;Mac10.11之后,附件存储在\Users\[UserName]\Library\Group Containers\Group.com.appLe.notes\Media目录下,附件信息存储在NoteStore.sqlite数据库文件中的表ZICCLOUDSYNGOBJECT;

14.iCal日程数据存放在\Users\UserName\Library\Calendars\目录下的Calendar Cache文件;

15.通话数据存放在\user\[username]\Library\Applicationupport\CallHistoryDB目录下的CallHistory.storedata文件,而短信数据存放\user\[username]\Library\Messages目录下的chat.db文件,这两个文件是sqlite数据库文件;


0x03 动态取证


1.数据固定:

1.使用macOS自带的磁盘工具,创建磁盘镜像;磁盘工具可以在磁盘写保护的情况下,创建一个磁盘的dmg格式镜像(类似DD镜像);

2.使用网络复刻机复制硬盘数据;

2.备份数据:

1.数据备份主要目标是backup.db,以下是位置解析:

1.Time machine:备份系统和用户数据的应用数据,,也可以发现一些删除的数据;

2.备份到独立的非本机硬盘,HFS格式的硬盘分区,如:u盘、移动硬盘等;

3.Airport time capsule 美国苹果公司的一款无线硬盘,可以配合Time machine使用

注:dmg文件格式:https://baike.baidu.com/item/dmg/12001324

相关文章
|
2月前
|
虚拟化 Windows
搬运5款冷门但值得下载的PC软件
本文推荐了五款较为冷门但非常实用的Windows软件:Picasa帮助用户轻松管理和编辑照片;DisplayFusion优化多屏使用体验;燃精灵能检测微信空号;IDM提供高效的下载管理功能;Zogvm则助力磁盘虚拟化管理,这些工具虽小众,却能极大提升工作效率。
37 1
|
2月前
|
安全 JavaScript 前端开发
某论坛新游试玩区被植入利用ANI漏洞传播 Trojan.Mnless.kip 的代码
某论坛新游试玩区被植入利用ANI漏洞传播 Trojan.Mnless.kip 的代码
|
缓存 安全 Java
pc取证-番外篇(4)
pc取证-番外篇(4)
92 1
|
存储 算法 Linux
pc取证-番外篇(5)
pc取证-番外篇(5)
87 0
|
存储 安全 Python
pc取证-番外篇(2)
pc取证-番外篇(2)
152 0
|
索引 Windows
Win系统 - 如何评价Vista在PC史上的历史地位?
Win系统 - 如何评价Vista在PC史上的历史地位?
245 0
Win系统 - 如何评价Vista在PC史上的历史地位?
|
小程序
微信这项功能太流氓了!
经过10年的发展,微信已经成了名副其实的国民应用。 无论是大人小孩,从事何种职业,微信已经成为了手机必备软件。
微信这项功能太流氓了!
|
监控 安全
Adobe两款软件存在缺陷 黑客可控制用户PC
据国外媒体报道,多家安全公司日前提醒用户警惕Adobe Reader 9和8.x版本及Acrobat中存在安全漏洞,该漏洞可能引发黑客攻击,不过攻击行动并没有大范围展开。 Adobe公司表示,上诉漏洞可能导致软件崩溃,并允许黑客控制受影响的电脑。
765 0
|
安全 数据安全/隐私保护
下一篇
无影云桌面